漏洞标题
N/A
漏洞描述信息
"HTTP客户端的 egg 始终使用HTTP_PROXY环境变量来确定是否应该通过代理路由HTTP流量,即使在作为CGI进程运行时也是如此。在多个Web服务器上,这意味着用户提供的“Proxy”头可以允许攻击者将所有HTTP请求引导到代理上(也称为“httpoxy”攻击)。这将影响所有0.10之前的HTTP客户端版本。"
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The "http-client" egg always used a HTTP_PROXY environment variable to determine whether HTTP traffic should be routed via a proxy, even when running as a CGI process. Under several web servers this would mean a user-supplied "Proxy" header could allow an attacker to direct all HTTP requests through a proxy (also known as a "httpoxy" attack). This affects all versions of http-client before 0.10.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
http-client 安全漏洞
漏洞描述信息
http-client是一个HTTP客户端库。 http-client 0.10之前的版本中存在安全漏洞。攻击者可利用该漏洞通过代理直接发送HTTP请求。
CVSS信息
N/A
漏洞类别
授权问题