Netty BinaryHttpParser 注入漏洞(CVE-2024-40642)
CVE编号
CVE-2024-40642利用情况
暂无补丁情况
N/A披露时间
2024-07-19漏洞描述
Netty 是一个异步事件驱动的网络应用程序框架,用于快速开发可维护的高性能协议服务器和客户端。Netty 的 incubator codec.bhttp 是一个 Java 实现的二进制 HTTP 解析器模块。 受影响版本中 incubator codec.bhttp 的 BinaryHttpParser 类未对HTTP 请求头部各个部分进行验证,攻击者可借此执行 HTTP 请求走私、异步攻击、HTTP 标头注入、请求队列中毒、缓存攻击和服务器端请求伪造 (SSRF) 等攻击。 修复版本中增加了对 BinaryHttpParser 类的验证逻辑,尤其是对 method、scheme、authority 和 path 部分的验证,防止非法字符注入,修复了该漏洞。解决建议
"将组件 io.netty.incubator:netty-incubator-codec-bhttp 升级至 0.0.13.final 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/netty/netty-incubator-codec-ohttp/commit/b687a0cf6ea103023... | |
| https://github.com/netty/netty-incubator-codec-ohttp/security/advisories/GHSA... |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论