重复公告:Dio包中CRLF序列的不当处理
漏洞详情
包管理器: Pub
包名称: dio
受影响版本: < 5.0.0
已修复版本: 5.0.0
漏洞描述
重复公告
此公告已被撤销,因为它是GHSA-9324-jv53-9cc8的重复公告。保留此链接是为了维护外部引用。
原始描述
Dart的dio包在5.0.0版本之前,如果攻击者控制HTTP方法字符串,则允许CRLF注入,这是一个与CVE-2020-35669不同的漏洞。
参考链接
- nvd.nist.gov/vuln/detail…
- cfug/dio#1130
- cfug/dio@927f79e
- osv.dev/GHSA-jwpw-q…
安全信息
严重程度: 高危
CVSS总体评分: 7.5/10
CVSS v3基础指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性: 高
- 完整性: 无
- 可用性: 无
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
弱点类型
- CWE-74: 输出中特殊元素的不当中和(注入)
- CWE-88: 命令中参数分隔符的不当中和(参数注入)
- CWE-93: CRLF序列的不当中和(CRLF注入)
时间线
- 国家漏洞数据库发布: 2021年4月15日
- GitHub咨询数据库发布: 2022年5月24日
- 审核: 2022年9月15日
- 最后更新: 2023年10月5日
- 撤销: 2023年10月5日
源代码
- 仓库: cfug/dio
致谢
- 分析师: AlexV525
