PT-2021-23220 · Nim+1 · Nim+1
Publicado
2021-11-12
·
Atualizado
2024-06-15
·
CVE-2021-41259
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Nim (versões afetadas não especificadas)
Descrição
A função
uri.parseUri no Nim pode ser usada para validar URIs e aceita bytes nulos na URI de entrada, o que poderia ser usado para contornar a validação da URI. Por exemplo, parseUri(“http://localhost0hello”) define o nome do host como “localhost0hello”. Além disso, httpclient.getContent aceita bytes nulos na URL de entrada e ignora quaisquer dados após o primeiro byte nulo. Um invasor pode usar bytes nulos para contornar a verificação e lançar um ataque de falsificação de solicitação do lado do servidor (SSRF).Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nim
Suse