漏洞标题
N/A
漏洞描述信息
在uncurl.c中的uncurl_ws_accept函数在0.07之前的uncurl版本中,以及在 Parsec 140-3 之前使用时,对 WebSocket API 请求的 Origin 头验证不足(接受任意子字符串匹配),可能导致远程攻击者绕过预期访问限制。在 Parsec 中,这意味着完全控制受害者计算机。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
In the uncurl_ws_accept function in uncurl.c in uncurl before 0.07, as used in Parsec before 140-3, insufficient Origin header validation (accepting an arbitrary substring match) for WebSocket API requests allows remote attackers to bypass intended access restrictions. In Parsec, this means full control over the victim's computer.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Parsec 安全漏洞
漏洞描述信息
Parsec是一个多线程应用程序组成的测试程序集。uncurl是一款基于C语言的HTTP/HTTPS客户端库。 Parsec 140-3之前版本中的uncurl 0.07之前版本的uncurl.c文件的‘uncurl_ws_accept’函数存在安全漏洞,该漏洞源于程序没有对WebSocket API请求执行充分的源包头检测。远程攻击者可利用该漏洞绕过访问限制。
CVSS信息
N/A
漏洞类别
跨站请求伪造