PT-2020-19718 · None · Uvicorn
Everardo Padilla Saca
·
Publicado
2020-07-27
·
Atualizado
2023-01-31
·
CVE-2020-7695
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Uvicorn anteriores à 0.11.7
Descrição
A vulnerabilidade permite que invasores explorem a divisão de respostas HTTP (HTTP response splitting) adicionando cabeçalhos arbitrários às respostas HTTP ou retornando um corpo de resposta arbitrário quando entradas maliciosas são usadas para construir cabeçalhos HTTP. Isso ocorre porque as sequências CRLF não são escapadas no valor dos cabeçalhos HTTP.
Recomendações
Para versões anteriores à 0.11.7, atualize para a versão 0.11.7 ou posterior para resolver o problema. Como solução temporária, considere validar e sanitizar todas as entradas usadas para construir cabeçalhos HTTP, a fim de impedir a inclusão de sequências CRLF maliciosas.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Uvicorn