CWE-113 · Ненадлежащая нейтрализация последовательностей CRLF в HTTP-заголовках («HTTP Request/Response Splitting»)

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-113ВариантНеполный

Абстракция: Вариант

Статус: Неполный

Источник ↗

Ненадлежащая нейтрализация последовательностей CRLF в HTTP-заголовках («HTTP Request/Response Splitting»)

Продукт получает данные от агента/компонента HTTP (например, веб-сервера, прокси-сервера, браузера и т.д.), однако не нейтрализует или некорректно нейтрализует символы CR и LF перед включением данных в исходящие HTTP-заголовки.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Доступ, перехват и модификация HTTP-cookie

Расщепление HTTP-ответов

AJAX-сбор сведений об инфраструктуре

Разбиение HTTP-запросов

Связанные уязвимости

CVE-2026-38967CrowCpp Crow через v1.3.1 HTTP уязвим для инъекции заголовка ответа через непроверенные значения заголовка ответа.

CVE-2023-25690Некоторые конфигурации mod_proxy на Apache HTTP Server версий 2.4.0 до 2.4.55 позволяют атаки подделки HTTP-запросов. Конфигурации затрагиваются, когда модуль mod_proxy включен вместе с какой-либо формой RewriteRule или ProxyPassMatch, в которой не специфичный шаблон соответствует некоторой части целевого адреса, предоставленного пользователем (URL), и затем повторно вставляется в проксируемый целевой адрес с помощью переменной подстановки. Например, что-то вроде: RewriteEngine on RewriteRule "^/here/(.*)" "http://example.com:8080/elsewhere?$1"; [P] ProxyPassReverse /here/ http://example.com:8080/ Разделение/подделка запросов может привести к обходу контроля доступа на прокси-сервере, проксированию непредусмотренных URL-адресов к существующим исходным серверам и отравлению кеша. Пользователям рекомендуется обновиться до как минимум версии 2.4.56 Apache HTTP Server.

CVE-2019-25101В OnShift TurboGears 1.0.11.10 была обнаружена уязвимость, классифицированная как критическая. Это затрагивает неизвестную часть файла turbogears/controllers.py компонента HTTP Header Handler. Манипуляция приводит к разделению HTTP-ответа. Атаку можно инициировать удаленно. Обновление до версии 1.0.11.11 позволяет устранить эту проблему. Патч называется f68bbaba47f4474e1da553aa51564a73e1d92a84. Рекомендуется обновить затронутый компонент. Связанным идентификатором этой уязвимости является VDB-220059.

CVE-2025-53007arduino-esp32 обеспечивает ядро Arduino для ESP32. Версии до 3.3.0-RC1 и 3.2.1 содержат уязвимость HTTP Response Splitting. Функция «SendHeader» принимает произвольный ввод для имени и значения заголовка HTTP, соединяет их в линию заголовка HTTP и прибавляет это в исходящих заголовках HTTP-ответа. Не существует проверки или санации параметров «имя» или «значимого» до того, как они будут включены в ответ HTTP. Если злоумышленник может контролировать вход в `sendHeader` (прямо или косвенно), он может вводить возврат (`\r`) или символы подачи линии (`\n`) в имя или значение заголовка или значения. Это может позволить злоумышленнику вводить дополнительные заголовки, манипулировать структурой ответа HTTP, потенциально вводить целый новый HTTP-ответ (разрыв отклика HTTP) и/или использовать путаницу заголовка или другие атаки протокола HTTP. Версии 3.3.0-RC1 и 3.2.1 содержат исправление проблемы.

CVE-2025-55271HCL Aftermarket DPC зависит от уязвимости HTTP Response Splitting, где в зависимости от того, как веб-приложение обрабатывает ответ на разделение, злоумышленник может выполнять произвольные команды или вводить вредный контент в ответ.

CVE-2024-52875Проблема была обнаружена в GFI Kerio Control версии 9.2.5 до 9.4.5. Параметр dest GET, передаваемый на страницы /nonauth/addCertException.cs, /nonauth/guestConfirm.cs и /nonauth/expiration.cs, не очищается должным образом перед использованием для генерации HTTP-заголовка Location в ответе HTTP 302. Это может быть использовано для выполнения атак Open Redirect или HTTP Response Splitting, что в свою очередь может привести к отраженному межсайтовому скриптингу (XSS). Удаленное выполнение команд может быть достигнуто с помощью функции обновления в интерфейсе администратора.

CVE-2023-32708В Splunk Enterprise версий ниже 9.0.5, 8.2.11 и 8.1.14 и Splunk Cloud Platform версий ниже 9.0.2303.100 пользователь с низкими привилегиями может вызвать уязвимость разделения HTTP-ответа с помощью команды rest SPL, которая позволяет им потенциально получать произвольный доступ к другим конечным точкам REST в системе.

CVE-2021-40336Существует уязвимость в веб-интерфейсе http, где веб-интерфейс не проверяет данные в заголовке HTTP. Это вызывает возможное разделение HTTP-ответа, которое, в случае эксплуатации, может привести к тому, что злоумышленник направит вредоносный код в веб-браузер пользователя, например, для кражи файлов cookie сеанса. Таким образом, злоумышленник, которому успешно удается заставить пользователя MSM, который уже установил сеанс с веб-интерфейсом MSM, щелкнуть поддельную ссылку на веб-интерфейс MSM, например, ссылка отправляется по электронной почте, может обманом заставить пользователя загрузить вредоносное программное обеспечение на свой компьютер. Эта проблема затрагивает: Hitachi Energy MSM V2.2 и более ранние версии.

CVE-2021-33621Cgi gem до версии 0.1.0.2, 0.2.x до версии 0.2.2 и 0.3.x до версии 0.3.5 для Ruby допускает разделение HTTP-ответов. Это относится к приложениям, которые используют ненадежный пользовательский ввод либо для создания HTTP-ответа, либо для создания объекта CGI::Cookie.

CVE-2018-13814Выявлена уязвимость в SIMATIC HMI Comfort Panels 4" - 22" (все версии < V14), SIMATIC HMI Comfort Outdoor Panels 7" & 15" (все версии < V14), SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 и KTP900F (все версии < V14), SIMATIC WinCC Runtime Advanced (все версии < V14), SIMATIC WinCC Runtime Professional (все версии < V14), SIMATIC WinCC (TIA Portal) (все версии < V14), SIMATIC HMI Classic Devices (TP/MP/OP/MP Mobile Panel) (все версии). Встроенный веб-сервер (порт 80/tcp и порт 443/tcp) уязвимых устройств может позволить злоумышленнику внедрять HTTP-заголовки. Злоумышленник должен обманом заставить действительного пользователя, прошедшего аутентификацию на устройстве, перейти по вредоносной ссылке, чтобы использовать уязвимость. На момент публикации консультации об общедоступной эксплуатации этой уязвимости безопасности ничего не было известно.

CVE-2018-11347Веб-приложение YunoHost 2.7.2 - 2.7.14 подвержено внедрению заголовка HTTP-ответа. Этот недостаток позволяет злоумышленнику внедрить в ответ от сервера один или несколько HTTP-заголовков. Это требует взаимодействия с пользователем, чтобы отправить ему вредоносную ссылку. Его можно использовать для выполнения других атак, таких как перенаправление пользователя на вредоносный веб-сайт, разделение HTTP-ответа или отравление HTTP-кэша.

CVE-2018-0689Уязвимость внедрения HTTP-заголовков в принтерах и сканерах SEIKO EPSON (версии прошивки DS-570W, выпущенные до 13 марта 2018 г., версии прошивки DS-780N, выпущенные до 13 марта 2018 г., версии прошивки EP-10VA, выпущенные до 4 сентября 2017 г., версии прошивки EP-30VA, выпущенные до 19 июня 2017 г., версии прошивки EP-707A, выпущенные до 1 августа 2017 г., версии прошивки EP-708A, выпущенные до 7 августа 2017 г., версии прошивки EP-709A, выпущенные до 12 июня 2017 г., версии прошивки EP-777A, выпущенные до 1 августа 2017 г., версии прошивки EP-807AB/AW/AR, выпущенные до 1 августа 2017 г., версии прошивки EP-808AB/AW/AR, выпущенные до 7 августа 2017 г., версии прошивки EP-879AB/AW/AR, выпущенные до 12 июня 2017 г., версии прошивки EP-907F, выпущенные до 1 августа 2017 г., версии прошивки EP-977A3, выпущенные до 1 августа 2017 г., версии прошивки EP-978A3, выпущенные до 7 августа 2017 г., версии прошивки EP-979A3, выпущенные до 12 июня 2017 г., версии прошивки EP-M570T, выпущенные до 6 сентября 2017 г., версии прошивки EW-M5071FT, выпущенные до 2 ноября 2017 г., версии прошивки EW-M660FT, выпущенные до 19 апреля 2018 г., версии прошивки EW-M770T, выпущенные до 6 сентября 2017 г., версии прошивки PF-70, выпущенные до 20 апреля 2018 г., версии прошивки PF-71, выпущенные до 18 июля 2017 г., версии прошивки PF-81, выпущенные до 14 сентября 2017 г., версии прошивки PX-048A, выпущенные до 4 июля 2017 г., версии прошивки PX-049A, выпущенные до 11 сентября 2017 г., версии прошивки PX-437A, выпущенные до 24 июля 2017 г., версии прошивки PX-M350F, выпущенные до 23 февраля 2018 г., версии прошивки PX-M5040F, выпущенные до 20 ноября 2017 г., версии прошивки PX-M5041F, выпущенные до 20 ноября 2017 г., версии прошивки PX-M650A, выпущенные до 17 октября 2017 г., версии прошивки PX-M650F, выпущенные до 17 октября 2017 г., версии прошивки PX-M680F, выпущенные до 29 июня 2017 г., версии прошивки PX-M7050F, выпущенные до 13 октября 2017 г., версии прошивки PX-M7050FP, выпущенные до 13 октября 2017 г., версии прошивки PX-M7050FX, выпущенные до 7 ноября 2017 г., версии прошивки PX-M7070FX, выпущенные до 27 апреля 2017 г., версии прошивки PX-M740F, выпущенные до 4 декабря 2017 г., версии прошивки PX-M741F, выпущенные до 4 декабря 2017 г., версии прошивки PX-M780F, выпущенные до 29 июня 2017 г., версии прошивки PX-M781F, выпущенные до 27 июня 2017 г., версии прошивки PX-M840F, выпущенные до 16 ноября 2017 г., версии прошивки PX-M840FX, выпущенные до 8 декабря 2017 г., версии прошивки PX-M860F, выпущенные до 25 октября 2017 г., версии прошивки PX-S05B/W, выпущенные до 9 марта 2018 г., версии прошивки PX-S350, выпущенные до 23 февраля 2018 г., версии прошивки PX-S5040, выпущенные до 20 ноября 2017 г., версии прошивки PX-S7050, выпущенные до 21 февраля 2018 г., версии прошивки PX-S7050PS, выпущенные до 21 февраля 2018 г., версии прошивки PX-S7050X, выпущенные до 7 ноября 2017 г., версии прошивки PX-S7070X, выпущенные до 27 апреля 2017 г., версии прошивки PX-S740, выпущенные до 3 декабря 2017 г., версии прошивки PX-S840, выпущенные до 16 ноября 2017 г., версии прошивки PX-S840X, выпущенные до 8 декабря 2017 г., версии прошивки PX-S860, выпущенные до 7 декабря 2017 г.) может позволить удаленным злоумышленникам направить пользователя на фишинговый сайт или выполнить произвольный скрипт в веб-браузере пользователя.

CVE-2025-61689HTTP.jl - это HTTP-клиент и серверная функциональность для языка программирования Julia. До версии 1.10.19 HTTP.jl не проверял имена/значения заголовков для незаконных символов, что позволяло инъекцию заголовка на основе CRLF и расщепление ответов. Это позволяет расщеплять HTTP-ответ и инъекцию заголовка, что приводит к отравлению кэша, XSS, фиксации сеанса и многое другое. Эта проблема исправлена в HTTP.jl `v1.10.19`.

CVE-2018-3911В удаленных серверах Samsung SmartThings Hub STH-ETH-250 - версия прошивки 0.20.17 существует допускающая эксплуатацию уязвимость внедрения HTTP-заголовков. Процесс hubCore прослушивает порт 39500 и передает любое неаутентифицированное сообщение на удаленные серверы SmartThings, которые небезопасно обрабатывают JSON-сообщения, что приводит к частично контролируемым запросам, сгенерированным в сторону внутреннего процесса video-core. Злоумышленник может отправить HTTP-запрос, чтобы активировать эту уязвимость.

CVE-2024-23644Trillium - это компонуемый набор инструментов для создания интернет-приложений с асинхронным rust. В `trillium-http` до 0.3.12 и `trillium-client` до 0.5.4 недостаточная проверка исходящих значений заголовков может привести к атакам с разделением запросов или разделением ответов в сценариях, когда злоумышленники имеют достаточный контроль над заголовками. Это влияет только на те случаи использования, когда злоумышленники контролируют заголовки запросов и могут вставлять последовательности "\r\n". В частности, если ненадежный и непроверенный ввод вставляется в имена или значения заголовков. Исходящие `trillium_http::HeaderValue` и `trillium_http::HeaderName` могут быть сконструированы безошибочно и не проверялись на наличие недопустимых байтов при отправке запросов от клиента или ответов от сервера. Таким образом, если злоумышленник имеет достаточный контроль над значениями заголовков (или именами) в запросе или ответе, чтобы он мог внедрить последовательности `\r\n`, он может вывести клиент и сервер из синхронизации, а затем повернуться, чтобы получить контроль над другими частями запросов или ответов (т.е. утечка данных из других запросов, SSRF и т.д.). В `trillium-http` версий 0.3.12 и новее, если имя заголовка недопустимо в заголовках ответов сервера, конкретный заголовок и любые связанные с ним значения опускаются из сетевой передачи. Кроме того, если значение заголовка недопустимо в заголовках ответов сервера, отдельное значение заголовка опускается из сетевой передачи. Другие значения заголовков с тем же именем заголовка все равно будут отправлены. В `trillium-client` версий 0.5.4 и новее, если какое-либо имя заголовка или значение заголовка недопустимы в заголовках запросов клиента, ожидание клиента Conn возвращает `Error::MalformedHeader` до любого сетевого доступа. В качестве обходного пути службы Trillium и клиентские приложения должны очищать или проверять ненадежный ввод, который включен в значения заголовков и имена заголовков. Символы возврата каретки, новой строки и null не допускаются.