漏洞标题
N/A
漏洞描述信息
Go 1.6 中的 net/http 包并未尝试解决 RFC 3875 第 4.1.18 命名空间冲突问题,因此无法保护 CGI 应用程序免受 HTTP_PROXY 环境变量中未授权客户端数据的存在,该数据可能会被远程攻击者通过在 HTTP 请求中的创建自定义的 Proxy 头将 CGI 应用程序的 outbound HTTP 流量路由到任意的代理服务器,这被称为“httpoxy”问题。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The net/http package in Go through 1.6 does not attempt to address RFC 3875 section 4.1.18 namespace conflicts and therefore does not protect CGI applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect a CGI application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Google Go httpoxy 安全漏洞
漏洞描述信息
Google Go是美国谷歌(Google)公司的一种针对多处理器系统应用程序的编程进行了优化的编程语言。 Google Go 1.6及之前的版本中的net/http数据包存在安全漏洞,该漏洞源于程序没有解决RFC 3875模式下的命名空间冲突。程序没有正确处理来自HTTP_PROXY环境变量中不可信客户端数据应用程序。远程攻击者借助HTTP请求中特制的Proxy header消息利用该漏洞实施中间人攻击,指引服务器发送连接到任意主机。
CVSS信息
N/A
漏洞类别
授权问题