一、 漏洞 CVE-2024-7885 基础信息
漏洞标题
暗流:代理协议解析中的不当状态管理导致信息泄露
来源:AIGC 神龙大模型
漏洞描述信息
在Undertow中发现了一个漏洞,其中ProxyProtocolReadListener会在多个请求中复用相同的StringBuilder实例。当parseProxyProtocolV1方法在相同的HTTP连接上处理多个请求时,此问题发生。因此,不同的请求可能共享相同的StringBuilder实例,这可能导致请求或响应之间的信息泄露。在某些情况下,以前请求或响应中的值可能会错误地重复使用,这可能导致意外的数据暴露。该问题主要导致错误和连接终止,但在多请求环境中存在数据泄露的风险。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
来源:AIGC 神龙大模型
漏洞类别
信息暴露
来源:AIGC 神龙大模型
漏洞标题
Undertow: improper state management in proxy protocol parsing causes information leakage
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in Undertow where the ProxyProtocolReadListener reuses the same StringBuilder instance across multiple requests. This issue occurs when the parseProxyProtocolV1 method processes multiple requests on the same HTTP connection. As a result, different requests may share the same StringBuilder instance, potentially leading to information leakage between requests or responses. In some cases, a value from a previous request or response may be erroneously reused, which could lead to unintended data exposure. This issue primarily results in errors and connection termination but creates a risk of data leakage in multi-request environments.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
使用共享资源的并发执行不恰当同步问题(竞争条件)
来源:美国国家漏洞数据库 NVD
漏洞标题
Red Hat Undertow 竞争条件问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Red Hat Undertow是美国红帽(Red Hat)公司的一款基于Java的嵌入式Web服务器,是Wildfly(Java应用服务器)默认的Web服务器。 Red Hat Undertow存在竞争条件问题漏洞。攻击者利用该漏洞可以获取敏感信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
竞争条件问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-7885 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-7885 的情报信息