Vulnerabilidad en NIOHTTP1 (CVE-2022-3215)

NIOHTTP1 y los proyectos que lo usan para generar respuestas HTTP pueden ser objeto de un ataque de inyección de respuesta HTTP. Esto ocurre cuando un servidor HTTP/1.1 acepta entradas generadas por el usuario desde una petición entrante y las refleja en un encabezado de respuesta HTTP/1.1 de alguna forma. Un usuario malicioso puede añadir nuevas líneas a su entrada (normalmente en forma codificada) e "inyectar" esas nuevas líneas en la respuesta HTTP devuelta. Esta capacidad permite a usuarios eludir los encabezados de seguridad y los encabezados de enmarcado HTTP/1.1 inyectando respuestas completamente falsas u otros encabezados nuevos. Las respuestas falsas inyectadas también pueden ser tratadas como la respuesta a peticiones posteriores, lo que puede conllevar a un ataque de tipo XSS, envenenamiento de la caché y una serie de otros fallos. Este problema ha sido resuelto añadiendo comprobación al tipo HTTPHeaders, asegurando que no se presentan espacios en blanco incorrectos en los encabezados HTTP proporcionadas por los usuarios. Como la superficie de la API existente no es fallida, todos los caracteres no válidos son sustituidos por espacios en blanco lineales