一、 漏洞 CVE-2024-47220 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Ruby的WEBrick工具包1.8.1及之前版本中发现了一个问题。通过同时提供Content-Length头部和Transfer-Encoding头部,允许进行HTTP请求走私,例如在一个"POST /user HTTP/1.1\r\n"请求内嵌入"GET /admin HTTP/1.1\r\n"。注意:供应商认为"Webrick不应在生产环境中使用。"
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
HTTP请求的解释不一致性(HTTP请求私运)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in the WEBrick toolkit through 1.8.1 for Ruby. It allows HTTP request smuggling by providing both a Content-Length header and a Transfer-Encoding header, e.g., "GET /admin HTTP/1.1\r\n" inside of a "POST /user HTTP/1.1\r\n" request. NOTE: the supplier's position is "Webrick should not be used in production."
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Webrick 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Webrick是The Ruby Programming Language开源的一个 HTTP 服务器工具包。 Webrick 1.8.1版本存在安全漏洞,该漏洞源于通过提供Content-Length标头和Transfer-Encoding标头以允许HTTP请求走私。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47220 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-47220 的情报信息
-
-
标题: Prevent request smuggling by jeremyevans · Pull Request #146 · ruby/webrick · GitHub -- 🔗来源链接
标签:
神龙速读
- https://github.com/ruby/webrick/issues/145#issuecomment-2369994610
- https://github.com/ruby/webrick/issues/145#issuecomment-2372838285
- https://nvd.nist.gov/vuln/detail/CVE-2024-47220