В Undertow был обнаружен недостаток. Когда Undertow получает запрос HTTP, где первая линия заголовка начинается с одного или более пробелов…
В Undertow был обнаружен недостаток. Когда Undertow получает запрос HTTP, где первая линия заголовка начинается с одного или более пробелов, она неправильно обрабатывает запрос, зачистив эти ведущие пространства. Такое поведение, которое нарушает стандарты HTTP, может быть использовано удаленным злоумышленником для выполнения контрабанды запросов. Запрос контрабанды позволяет злоумышленнику обходить механизмы безопасности, получать доступ к ограниченной информации или манипулировать веб-кэшами, что может привести к несанкционированным действиям или воздействию данных.
Продукт выступает в роли промежуточного HTTP-агента (например, прокси-сервера или межсетевого экрана) в потоке данных между двумя объектами — клиентом и сервером, — однако интерпретирует некорректно сформированные HTTP-запросы или ответы иначе, чем конечные получатели этих сообщений.
https://cwe.mitre.org/data/definitions/444.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/33.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/273.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| undertow | Отслеживается | |
| build_of_apache_camel_-_hawtio | * | Отслеживается |
| build_of_apache_camel_for_spring_boot | * | Отслеживается |
| data_grid | * | Отслеживается |
| enterprise_linux | * | Отслеживается |
| fuse | * | Отслеживается |
| jboss_enterprise_application_platform | * | Отслеживается |
| jboss_enterprise_application_platform_expansion_pack | * | Отслеживается |
| process_automation | * | Отслеживается |
| single_sign-on | * | Отслеживается |
| undertow | * | Отслеживается |