漏洞标题
N/A
漏洞描述信息
在Yaws 2.0.4之前,它没有试图解决RFC3875第4.1.18命名空间冲突问题,因此无法保护CGI应用程序免受HTTP_PROXY环境变量中未授权客户端数据的存在,这可能导致远程攻击者通过在HTTP请求中的构造的Proxy header将CGI应用程序的外部HTTP流量转向任意的代理服务器,即“httpoxy”问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
yaws before 2.0.4 does not attempt to address RFC 3875 section 4.1.18 namespace conflicts and therefore does not protect CGI applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect a CGI application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
YAWS Web服务器httpoxy 安全漏洞
漏洞描述信息
中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。以下产品及版本受到影响:
CVSS信息
N/A
漏洞类别
输入验证错误