Twisted Web (versões afetadas não especificadas)

A vulnerabilidade permite ataques de contrabando de solicitações. Quando o Twisted Web recebe uma solicitação com dois cabeçalhos de comprimento de conteúdo, ele ignora o primeiro cabeçalho. Se o segundo comprimento de conteúdo estiver definido como zero, o Twisted Web interpreta o corpo da solicitação como uma solicitação em pipeline, contrariando a RFC 7230, Seção 3.3.3#4, que estabelece que o servidor deve rejeitar tais mensagens com uma resposta 400. Além disso, quando apresentado a um cabeçalho content-length e a um cabeçalho chunked encoding, o content-length tem precedência, e o restante do corpo da solicitação é interpretado como uma solicitação em pipeline, violando a Seção 3.3.3#3 da RFC 7230, que especifica que o transfer-encoding substitui o content-length nesses casos.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.