漏洞标题
N/A
漏洞描述信息
## 漏洞概述
multipart_init函数在CGI.pm和CGI::Simple的Simple.pm中使用固定值作为multipart/x-mixed-replace内容中的MIME边界字符串,导致远程攻击者通过精心构造的输入注入任意HTTP头并执行HTTP响应拆分攻击。
## 影响版本
1. CGI.pm 版本早于3.50
2. CGI::Simple 1.112及更早版本
## 漏洞细节
- **函数问题**: multipart_init函数使用固定值作为MIME边界字符串。
- **攻击利用**: 通过精心构造的输入,包含这个固定值,攻击者可以注入任意HTTP头并执行HTTP响应拆分攻击。
- **区别**: 该漏洞与CVE-2010-3172不同。
## 影响
远程攻击者可以利用此漏洞注入任意HTTP头,进而执行HTTP响应拆分攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The multipart_init function in (1) CGI.pm before 3.50 and (2) Simple.pm in CGI::Simple 1.112 and earlier uses a hardcoded value of the MIME boundary string in multipart/x-mixed-replace content, which allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via crafted input that contains this value, a different vulnerability than CVE-2010-3172.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Perl CGI.pm代码注入漏洞
漏洞描述信息
CGI.pm 是用途广泛的Perl模块,为编程公共网关接口(CGI)应用,提供一致 API 为接受用户输入和生产HTML或XHTML产品。 (1)CGI.pm 3.50之前版本以及(2)CGI::Simple中的Simple.pm 1.112及之前版本中的multipart_init函数使用了multipart/x-mixed-replace内容中的MIME边界字符串的硬编码值。远程攻击者可以借助包含该值的特制输入,注入任意HTTP头以及进行HTTP响应分裂攻击。
CVSS信息
N/A
漏洞类别
代码注入