Vulnerabilidad en la función HTTPConnection.putheader en urllib2 y urllib en CPython (CVE-2016-5699)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-113
Neutralización incorrecta de secuencias CRLF en cabeceras HTTP (División de respuesta HTTP)
Fecha de publicación:
02/09/2016
Última modificación:
12/04/2025
Descripción
Vulnerabilidad de inyección CRLF en la función HTTPConnection.putheader en urllib2 y urllib en CPython (también conocido como Python) en versiones anteriores a 2.7.10 y 3.x en versiones anteriores a 3.4.4 permite a atacantes remotos inyectar cabeceras HTTP arbitrarias a través de secuencias CRLF en una URL.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 2.7.9 (incluyendo) | |
| cpe:2.3:a:python:python:3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.1.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.1.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.1.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.2.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.2.5:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.blindspotsecurity.com/2016/06/advisory-http-header-injection-in.html
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
- http://rhn.redhat.com/errata/RHSA-2016-1626.html
- http://rhn.redhat.com/errata/RHSA-2016-1627.html
- http://rhn.redhat.com/errata/RHSA-2016-1628.html
- http://rhn.redhat.com/errata/RHSA-2016-1629.html
- http://rhn.redhat.com/errata/RHSA-2016-1630.html
- http://www.openwall.com/lists/oss-security/2016/06/14/7
- http://www.openwall.com/lists/oss-security/2016/06/15/12
- http://www.openwall.com/lists/oss-security/2016/06/16/2
- http://www.oracle.com/technetwork/topics/security/bulletinjul2016-3090568.html
- http://www.securityfocus.com/bid/91226
- http://www.splunk.com/view/SP-CAAAPSV
- http://www.splunk.com/view/SP-CAAAPUE
- https://docs.python.org/3.4/whatsnew/changelog.html#python-3-4-4
- https://hg.python.org/cpython/raw-file/v2.7.10/Misc/NEWS
- https://hg.python.org/cpython/rev/1c45047c5102
- https://hg.python.org/cpython/rev/bf3e1c9b80e9
- https://lists.debian.org/debian-lts-announce/2019/02/msg00011.html
- http://blog.blindspotsecurity.com/2016/06/advisory-http-header-injection-in.html
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
- http://rhn.redhat.com/errata/RHSA-2016-1626.html
- http://rhn.redhat.com/errata/RHSA-2016-1627.html
- http://rhn.redhat.com/errata/RHSA-2016-1628.html
- http://rhn.redhat.com/errata/RHSA-2016-1629.html
- http://rhn.redhat.com/errata/RHSA-2016-1630.html
- http://www.openwall.com/lists/oss-security/2016/06/14/7
- http://www.openwall.com/lists/oss-security/2016/06/15/12
- http://www.openwall.com/lists/oss-security/2016/06/16/2
- http://www.oracle.com/technetwork/topics/security/bulletinjul2016-3090568.html
- http://www.securityfocus.com/bid/91226
- http://www.splunk.com/view/SP-CAAAPSV
- http://www.splunk.com/view/SP-CAAAPUE
- https://docs.python.org/3.4/whatsnew/changelog.html#python-3-4-4
- https://hg.python.org/cpython/raw-file/v2.7.10/Misc/NEWS
- https://hg.python.org/cpython/rev/1c45047c5102
- https://hg.python.org/cpython/rev/bf3e1c9b80e9
- https://lists.debian.org/debian-lts-announce/2019/02/msg00011.html