CWE-444БазаНеполный
Непоследовательная интерпретация HTTP-запросов ('контрабанда HTTP-запросов/ответов')
Продукт выступает в роли промежуточного HTTP-агента (например, прокси-сервера или межсетевого экрана) в потоке данных между двумя объектами — клиентом и сервером, — однако интерпретирует некорректно сформированные HTTP-запросы или ответы иначе, чем конечные получатели этих сообщений.
Открыть в каталоге с фильтром CWE →Связанные уязвимости
CVE-2025-1867Несогласованная интерпретация HTTP-запросов (уязвимость 'HTTP Request/Response Smuggling') в библиотеке ithewei libhv позволяет осуществлять 'HTTP Response Smuggling'. Эта проблема затрагивает libhv: версии до 1.3.3.
CVE-2022-22536SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server 7.53 и SAP Web Dispatcher уязвимы для контрабанды запросов и конкатенации запросов. Не прошедший проверку подлинности злоумышленник может добавить произвольные данные к запросу жертвы. Таким образом, злоумышленник может выполнять функции, выдавая себя за жертву, или отравлять промежуточные веб-кеши. Успешная атака может привести к полному нарушению конфиденциальности, целостности и доступности системы.
CVE-2018-3907В REST-анализаторе HTTP-сервера video-core Samsung SmartThings Hub STH-ETH-250 - версия прошивки 0.20.17 существует допускающая эксплуатацию уязвимость. Процесс video-core некорректно обрабатывает конвейерные HTTP-запросы, что позволяет последовательным запросам перезаписывать ранее проанализированный HTTP-метод, обратный вызов 'on_url'. Злоумышленник может отправить HTTP-запрос, чтобы активировать эту уязвимость.
CVE-2025-55315Inconsistent interpretation of http requests ('http request/response smuggling') in ASP.NET Core allows an authorized attacker to bypass a security feature over a network.
CVE-2023-48365Qlik Sense Enterprise для Windows до August 2023 Patch 2 допускает не прошедшее проверку подлинности удаленное выполнение кода, также известное как QB-21683. Из-за неправильной проверки HTTP-заголовков удаленный злоумышленник может повысить свои привилегии путем туннелирования HTTP-запросов, что позволит ему выполнять HTTP-запросы на внутреннем сервере, на котором размещено приложение репозитория. Исправленные версии: August 2023 Patch 2, May 2023 Patch 6, February 2023 Patch 10, November 2022 Patch 12, August 2022 Patch 14, May 2022 Patch 16, February 2022 Patch 15 и November 2021 Patch 17. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления CVE-2023-41265.
CVE-2023-41265Уязвимость HTTP Request Tunneling, обнаруженная в Qlik Sense Enterprise for Windows для версий May 2023 Patch 3 и более ранних, February 2023 Patch 7 и более ранних, November 2022 Patch 10 и более ранних и August 2022 Patch 12 и более ранних, позволяет удаленному злоумышленнику повысить свои привилегии путем туннелирования HTTP-запросов в необработанном HTTP-запросе. Это позволяет им отправлять запросы, которые выполняются сервером бэкэнда, на котором размещено приложение репозитория. Эта проблема исправлена в August 2023 IR, May 2023 Patch 4, February 2023 Patch 8, November 2022 Patch 11 и August 2022 Patch 13.
CVE-2026-23527H3 is a minimal H(TTP) framework built for high performance and portability. Prior to 1.15.5, there is a critical HTTP Request Smuggling vulnerability. readRawBody is doing a strict case-sensitive check for the Transfer-Encoding header. It explicitly looks for "chunked", but per the RFC, this header should be case-insensitive. This vulnerability is fixed in 1.15.5.
CVE-2026-1525Undici allows duplicate HTTP Content-Length headers when they are provided in an array with case-variant names (e.g., Content-Length and content-length). This produces malformed HTTP/1.1 requests with multiple conflicting Content-Length values on the wire.
Who is impacted:
* Applications using undici.request(), undici.Client, or similar low-level APIs with headers passed as flat arrays
* Applications that accept user-controlled header names without case-normalization
Potential consequences:
* Denial of Service: Strict HTTP parsers (proxies, servers) will reject requests with duplicate Content-Length headers (400 Bad Request)
* HTTP Request Smuggling: In deployments where an intermediary and backend interpret duplicate headers inconsistently (e.g., one uses the first value, the other uses the last), this can enable request smuggling attacks leading to ACL bypass, cache poisoning, or credential hijacking
CVE-2024-27922TOMP Bare Server реализует bare server TompHTTP. Уязвимость в версиях до 2.0.2 связана с небезопасной обработкой HTTP-запросов пакетом @tomphttp/bare-server-node. Этот недостаток потенциально подвергает пользователей пакета манипуляциям с их веб-трафиком. Влияние может варьироваться в зависимости от конкретного использования пакета, но потенциально может затронуть любую систему, в которой используется этот пакет. Проблема была исправлена в версии 2.0.2. На момент публикации конкретные стратегии обходных путей не разглашались.
CVE-2024-22081Проблема была обнаружена в Elspec G5 digital fault recorder версий 1.1.4.15 и более ранних. Неаутентифицированное повреждение памяти может произойти в механизме разбора HTTP-заголовка.
CVE-2024-10264Уязвимость подделки HTTP-запросов в версии 1.4.1 netease-youdao/qanything позволяет злоумышленникам использовать несоответствия в интерпретации HTTP-запросов между прокси и сервером. Это может привести к несанкционированному доступу, обходу средств безопасности, захвату сеансов, утечкам данных и потенциальному выполнению произвольного кода.
CVE-2023-27238Обнаружено, что LavaLite CMS v 9.0.0 уязвим для отравления веб-кэша.
CVE-2023-25690Некоторые конфигурации mod_proxy на Apache HTTP Server версий 2.4.0 до 2.4.55 позволяют атаки подделки HTTP-запросов.
Конфигурации затрагиваются, когда модуль mod_proxy включен вместе с какой-либо формой RewriteRule или ProxyPassMatch,
в которой не специфичный шаблон соответствует некоторой части целевого адреса,
предоставленного пользователем (URL), и затем повторно вставляется
в проксируемый целевой адрес с помощью переменной подстановки.
Например, что-то вроде:
RewriteEngine on
RewriteRule "^/here/(.*)" "http://example.com:8080/elsewhere?$1"; [P]
ProxyPassReverse /here/ http://example.com:8080/
Разделение/подделка запросов может привести к обходу контроля доступа
на прокси-сервере, проксированию непредусмотренных URL-адресов к существующим исходным серверам и отравлению кеша. Пользователям рекомендуется обновиться до как минимум версии 2.4.56 Apache HTTP Server.
CVE-2022-29361Неправильный синтаксический анализ HTTP-запросов в Pallets Werkzeug v2.1.0 и ниже позволяет злоумышленникам выполнять контрабанду HTTP-запросов, используя специально созданный HTTP-запрос с несколькими запросами, включенными в тело. ПРИМЕЧАНИЕ: позиция поставщика заключается в том, что это поведение может происходить только в неподдерживаемых конфигурациях, включающих режим разработки и HTTP-сервер извне проекта Werkzeug.
CVE-2022-24766mitmproxy — это интерактивный перехватывающий прокси-сервер с поддержкой SSL/TLS. В mitmproxy 7.0.4 и более ранних версиях вредоносный клиент или сервер может выполнять атаки контрабанды HTTP-запросов через mitmproxy. Это означает, что вредоносный клиент/сервер может контрабандой передать запрос/ответ через mitmproxy как часть тела HTTP-сообщения другого запроса/ответа. В то время как mitmproxy будет видеть только один запрос, целевой сервер будет видеть несколько запросов. Контрабандный запрос по-прежнему захватывается как часть тела другого запроса, но он не отображается в списке запросов и не проходит через обычные перехватчики событий mitmproxy, где пользователи могли реализовать собственные проверки контроля доступа или очистку ввода. Если mitmproxy не используется для защиты службы HTTP/1, никаких действий не требуется. Уязвимость была исправлена в mitmproxy 8.0.0 и выше. В настоящее время нет известных обходных решений.