Vulnerabilidad en Async HTTP Client (CVE-2023-0040)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-93
Neutralización incorrecta de secuencias de retornos de carro y saltos de linea (CRLF)
Fecha de publicación:
18/01/2023
Última modificación:
03/04/2025
Descripción
Las versiones de Async HTTP Client anteriores a la 1.13.2 son vulnerables a una forma de manipulación de solicitudes dirigida llamada inyección CRLF. Esta vulnerabilidad fue el resultado de una validación insuficiente de los valores de los campos del encabezado HTTP antes de enviarlos a la red. Los usuarios son vulnerables si pasan datos que no son de confianza a valores de campos de encabezado HTTP sin una desinfección previa. Los casos de uso comunes aquí podrían ser colocar nombres de usuario de una base de datos en campos de encabezado HTTP. Esta vulnerabilidad permite a los atacantes inyectar nuevos campos de encabezado HTTP o solicitudes completamente nuevas en el flujo de datos. Esto puede hacer que el servidor remoto comprenda las solicitudes de forma muy diferente a la prevista. En general, es poco probable que esto dé lugar a la divulgación de datos, pero puede dar lugar a una serie de errores lógicos y otras malas conductas.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:asynchttpclient_project:async-http-client:*:*:*:*:*:*:*:* | 1.4.1 (excluyendo) | |
| cpe:2.3:a:asynchttpclient_project:async-http-client:*:*:*:*:*:*:*:* | 1.5.0 (incluyendo) | 1.9.1 (excluyendo) |
| cpe:2.3:a:asynchttpclient_project:async-http-client:*:*:*:*:*:*:*:* | 1.10.0 (incluyendo) | 1.12.1 (excluyendo) |
| cpe:2.3:a:asynchttpclient_project:async-http-client:*:*:*:*:*:*:*:* | 1.13.0 (incluyendo) | 1.13.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página