漏洞标题
N/A
漏洞描述信息
在16.3.1之前扭曲,不会尝试解决RFC 3875第4.1.18命名空间冲突问题,因此不会保护CGI应用程序免受HTTP_PROXY环境变量中未信任客户端数据的存在,该数据可能导致远程攻击者通过在HTTP请求中的创建的Proxy header来将CGI应用程序的 outboundHTTP流量路由到任意的代理服务器,即“httpoxy”问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Twisted before 16.3.1 does not attempt to address RFC 3875 section 4.1.18 namespace conflicts and therefore does not protect CGI applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect a CGI application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Twisted 安全漏洞
漏洞描述信息
Twisted是一款使用Python语言编写的事件驱动的开源网络引擎。 Twisted 16.3.1之前版本中存在安全漏洞,该漏洞源于程序没有解决RFC 3875 4.1.18章节的命名空间冲突,因此未能保护CGI应用程序免受HTTP_PROXY环境变量中不可信客户端数据的影响。远程攻击者可借助HTTP请求中特制的代理头利用该漏洞将CGI应用程序的出站HTTP流量重定向到任意代理服务器。
CVSS信息
N/A
漏洞类别
其他