HAProxy до версии 2.7.3 может допускать обход контроля доступа, поскольку HTTP/1 заголовки непреднамеренно теряются в некоторых ситуациях, …
HAProxy до версии 2.7.3 может допускать обход контроля доступа, поскольку HTTP/1 заголовки непреднамеренно теряются в некоторых ситуациях, также известное как «контрабанда запросов». HTTP-парсеры заголовков в HAProxy могут принимать пустые имена полей заголовков, которые можно использовать для усечения списка HTTP-заголовков и, таким образом, для исчезновения некоторых заголовков после их анализа и обработки для HTTP/1.0 и HTTP/1.1. Для HTTP/2 и HTTP/3 влияние ограничено, поскольку заголовки исчезают до их анализа и обработки, как если бы они не были отправлены клиентом. Исправленными версиями являются 2.7.3, 2.6.9, 2.5.12, 2.4.22, 2.2.29 и 2.0.31.
Продукт выступает в роли промежуточного HTTP-агента (например, прокси-сервера или межсетевого экрана) в потоке данных между двумя объектами — клиентом и сервером, — однако интерпретирует некорректно сформированные HTTP-запросы или ответы иначе, чем конечные получатели этих сообщений.
https://cwe.mitre.org/data/definitions/444.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/33.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/273.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается | |
| haproxy | Отслеживается |