漏洞标题
N/A
漏洞描述信息
HHVM 并没有尝试解决 RFC 3875 第 4.1.18 命名空间冲突问题,因此无法保护 CGI 应用程序免受 HTTP_PROXY 环境变量中未信任客户端数据的存在,这可能导致远程攻击者通过在 HTTP 请求中的创建自定义的 Proxy 头将 CGI 应用程序的外部 HTTP 流量转向任意的代理服务器,即“httpoxy”问题。该问题影响的是 HHVM 版本在 3.9.6 之前的所有版本,包括所有在 3.10.0 到 3.12.4(inclusive)之间的版本,以及所有在 3.13.0 到 3.14.2(inclusive)之间的版本。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
HHVM does not attempt to address RFC 3875 section 4.1.18 namespace conflicts and therefore does not protect CGI applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect a CGI application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue. This issue affects HHVM versions prior to 3.9.6, all versions between 3.10.0 and 3.12.4 (inclusive), and all versions between 3.13.0 and 3.14.2 (inclusive).
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Facebook HHVM 安全漏洞
漏洞描述信息
Facebook HHVM(又名HipHop Virtual Machine)是美国Facebook公司的一款能够显著提高PHP加载动态页面性能的虚拟机。 Facebook HHVM 3.9.6之前版本、3.10.0版本至3.12.4版本和3.13.0版本至3.14.2版本中存在安全漏洞。攻击者可利用该漏洞将CGI应用程序发出的HTTP流量重定向任意的代理服务器。
CVSS信息
N/A
漏洞类别
其他