Dio包CRLF序列注入漏洞分析
漏洞概述
GHSA-jwpw-q68h-r678是一个关于Dart语言中dio包的重复安全公告,该公告已于2023年10月5日被撤回,因其与GHSA-9324-jv53-9cc8重复。
受影响版本
- 受影响版本:< 5.0.0
- 已修复版本:5.0.0
漏洞详情
在dio包5.0.0之前的版本中,存在CRLF注入漏洞,当攻击者能够控制HTTP方法字符串时,可利用此漏洞实施攻击。此漏洞与CVE-2020-35669不同。
技术细节
漏洞类型
- CWE-74:输出中特殊元素的不当中和(注入)
- CWE-88:命令中参数分隔符的不当中和(参数注入)
- CWE-93:CRLF序列的不当中和(CRLF注入)
CVSS评分
- 总体评分:7.5(高风险)
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:无
- 可用性影响:无
参考链接
- nvd.nist.gov/vuln/detail…
- cfug/dio#1130
- cfug/dio@927f79e
- osv.dev/GHSA-jwpw-q…
时间线
- 国家漏洞数据库发布:2021年4月15日
- GitHub咨询数据库发布:2022年5月24日
- 审核时间:2022年9月15日
- 最后更新:2023年10月5日
- 撤回时间:2023年10月5日
致谢
感谢AlexV525分析师对此漏洞的分析工作。
注意:此咨询已被编辑,如需查看历史记录或提供改进建议,请参阅相关链接。
