CWE-444БазаНеполный
Непоследовательная интерпретация HTTP-запросов ('контрабанда HTTP-запросов/ответов')
Продукт выступает в роли промежуточного HTTP-агента (например, прокси-сервера или межсетевого экрана) в потоке данных между двумя объектами — клиентом и сервером, — однако интерпретирует некорректно сформированные HTTP-запросы или ответы иначе, чем конечные получатели этих сообщений.
Открыть в каталоге с фильтром CWE →Связанные уязвимости
CVE-2025-1867Несогласованная интерпретация HTTP-запросов (уязвимость 'HTTP Request/Response Smuggling') в библиотеке ithewei libhv позволяет осуществлять 'HTTP Response Smuggling'. Эта проблема затрагивает libhv: версии до 1.3.3.
CVE-2022-22536SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server 7.53 и SAP Web Dispatcher уязвимы для контрабанды запросов и конкатенации запросов. Не прошедший проверку подлинности злоумышленник может добавить произвольные данные к запросу жертвы. Таким образом, злоумышленник может выполнять функции, выдавая себя за жертву, или отравлять промежуточные веб-кеши. Успешная атака может привести к полному нарушению конфиденциальности, целостности и доступности системы.
CVE-2018-3907В REST-анализаторе HTTP-сервера video-core Samsung SmartThings Hub STH-ETH-250 - версия прошивки 0.20.17 существует допускающая эксплуатацию уязвимость. Процесс video-core некорректно обрабатывает конвейерные HTTP-запросы, что позволяет последовательным запросам перезаписывать ранее проанализированный HTTP-метод, обратный вызов 'on_url'. Злоумышленник может отправить HTTP-запрос, чтобы активировать эту уязвимость.
CVE-2025-55315Непоследовательная интерпретация запросов http («http request/ответ контрабиция») в ASP.NET Core позволяет авторизованному злоумышленнику обойти функцию безопасности по сети.
CVE-2023-48365Qlik Sense Enterprise для Windows до August 2023 Patch 2 допускает не прошедшее проверку подлинности удаленное выполнение кода, также известное как QB-21683. Из-за неправильной проверки HTTP-заголовков удаленный злоумышленник может повысить свои привилегии путем туннелирования HTTP-запросов, что позволит ему выполнять HTTP-запросы на внутреннем сервере, на котором размещено приложение репозитория. Исправленные версии: August 2023 Patch 2, May 2023 Patch 6, February 2023 Patch 10, November 2022 Patch 12, August 2022 Patch 14, May 2022 Patch 16, February 2022 Patch 15 и November 2021 Patch 17. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления CVE-2023-41265.
CVE-2023-41265Уязвимость HTTP Request Tunneling, обнаруженная в Qlik Sense Enterprise for Windows для версий May 2023 Patch 3 и более ранних, February 2023 Patch 7 и более ранних, November 2022 Patch 10 и более ранних и August 2022 Patch 12 и более ранних, позволяет удаленному злоумышленнику повысить свои привилегии путем туннелирования HTTP-запросов в необработанном HTTP-запросе. Это позволяет им отправлять запросы, которые выполняются сервером бэкэнда, на котором размещено приложение репозитория. Эта проблема исправлена в August 2023 IR, May 2023 Patch 4, February 2023 Patch 8, November 2022 Patch 11 и August 2022 Patch 13.
CVE-2026-42581Netty - это асинхронная, управляемая событиями сетевым приложением. До 4.2.13.Final и 4.1.133.Final, HttpObjectDecoder снимает противоречивый заголовок Доли Контента, когда запрос несет как Transfer-Encoding: chunked и Content-Length, но только для сообщений HTTP/1.1. Охранник отсутствует для HTTP/1.0. Злоумышленник, который отправляет запрос HTTP/1.0 с обоими заголовками, заставляет Netty декодировать тело как скрупулезно, оставляя длину контента нетронутой в пересылаемой HttpMessage. Любой нижепоток прокси или обработчик, который доверяет Content-Length над Transfer-Encoding, не согласится с границами сообщений, что позволяет совершать контрабанду запросов. Эта уязвимость зафиксирована в 4.2.13.Final и 4.1.133.Final.
CVE-2026-41873** НЕПОДДОПОКЛОНЕННО КОГДЕ НАЗНАЧЕНО ** Непоследовательная интерпретация HTTP-запросов («HTTP Запрос / Контрабанда ответов») в Pony Mail, что приводит к захвату учетной записи администратора.
Этот вопрос затрагивает все версии внедрения Lua Pony Mail. Существует реализация Python в разработке под названием «Pony Mail Foal», которая не затронута этой проблемой, но еще не выпущена.
Поскольку реализация Lua этого проекта свершилась, мы не планируем выпускать версию, которая исправляет эту проблему. Пользователям рекомендуется найти альтернативу или ограничить доступ к экземпляру доверенные пользователи.
ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются содержателем.
CVE-2026-23527H3 - это минимальный фреймворк H (TTP), созданный для высокой производительности и портативности. До 1.15.5 существует критическая уязвимость HTTP-запроса на контрабанду. readRawBody делает строгую проверку, чувствительную к регистру заголовка для заголовка Transfer-Encoding. Он явно ищет «chunked», но, согласно RFC, этот заголовок должен быть нечувствительным к корпусу. Эта уязвимость исправлена в 1.15.5.
CVE-2026-1525Undici позволяет дублировать HTTP-контент-длинные заголовки, когда они предоставляются в массиве с вариантными именами (например, Content-Length и длина контента). Это создает неправильно сформированные HTTP/1.1 запросы с несколькими противоречивыми значениями Content-Dength на проводе.
Кто пострадал:
* Приложения с использованием unddici.request(), unddici.Client или аналогичных низкоуровневых API с заголовками, передаваемыми в виде плоских массивов
* Приложения, которые принимают имена заголовков, контролируемые пользователем, без нормализации случая
Потенциальные последствия:
* Отказ в обслуживании: строгие HTTP-парсеры (прокси, серверы) отклонят запросы с дублированными заголовками Content-Length (400 Bad Request)
* Контрабанда HTTP-запроса: в развертываниях, где посредник и бэкэнд интерпретируют дубликаты заголовков непоследовательно (например, один использует первое значение, другой использует последнее), это может позволить запросить атаки контрабанды, приводящую к обходу ACL, отравлению кэша или угону учетными данными.
CVE-2024-27922TOMP Bare Server реализует bare server TompHTTP. Уязвимость в версиях до 2.0.2 связана с небезопасной обработкой HTTP-запросов пакетом @tomphttp/bare-server-node. Этот недостаток потенциально подвергает пользователей пакета манипуляциям с их веб-трафиком. Влияние может варьироваться в зависимости от конкретного использования пакета, но потенциально может затронуть любую систему, в которой используется этот пакет. Проблема была исправлена в версии 2.0.2. На момент публикации конкретные стратегии обходных путей не разглашались.
CVE-2024-22081Проблема была обнаружена в Elspec G5 digital fault recorder версий 1.1.4.15 и более ранних. Неаутентифицированное повреждение памяти может произойти в механизме разбора HTTP-заголовка.
CVE-2024-10264Уязвимость подделки HTTP-запросов в версии 1.4.1 netease-youdao/qanything позволяет злоумышленникам использовать несоответствия в интерпретации HTTP-запросов между прокси и сервером. Это может привести к несанкционированному доступу, обходу средств безопасности, захвату сеансов, утечкам данных и потенциальному выполнению произвольного кода.
CVE-2023-27238Обнаружено, что LavaLite CMS v 9.0.0 уязвим для отравления веб-кэша.
CVE-2023-25690Некоторые конфигурации mod_proxy на Apache HTTP Server версий 2.4.0 до 2.4.55 позволяют атаки подделки HTTP-запросов.
Конфигурации затрагиваются, когда модуль mod_proxy включен вместе с какой-либо формой RewriteRule или ProxyPassMatch,
в которой не специфичный шаблон соответствует некоторой части целевого адреса,
предоставленного пользователем (URL), и затем повторно вставляется
в проксируемый целевой адрес с помощью переменной подстановки.
Например, что-то вроде:
RewriteEngine on
RewriteRule "^/here/(.*)" "http://example.com:8080/elsewhere?$1"; [P]
ProxyPassReverse /here/ http://example.com:8080/
Разделение/подделка запросов может привести к обходу контроля доступа
на прокси-сервере, проксированию непредусмотренных URL-адресов к существующим исходным серверам и отравлению кеша. Пользователям рекомендуется обновиться до как минимум версии 2.4.56 Apache HTTP Server.