При использовании http.cookies.Morsel значения и параметры файлов cookie, управляемые пользователем, могут позволять вставлять заголовки HTTP в сообщения. Исправление отклоняет все управляющие символы в именах, значениях и параметрах файлов cookie.
Показать оригинальное описание (EN)
When using http.cookies.Morsel, user-controlled cookie values and parameters can allow injecting HTTP headers into messages. Patch rejects all control characters within cookie names, values, and parameters.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты
python software foundation:cpython
Ссылки 9
https://github.com/python/cpython/commit/95746b3a13a985787ef53b977129041971ed7f…
cna@python.org
https://github.com/python/cpython/issues/143919
cna@python.org
https://github.com/python/cpython/pull/143920
cna@python.org
https://mail.python.org/archives/list/security-announce@python.org/thread/6VFLQ…
cna@python.org
https://github.com/python/cpython/commit/712452e6f1d4b9f7f8c4c92ebfcaac1705faa4…
NVD
https://github.com/python/cpython/commit/62700107418eb2cca3fc88da036a243ea975f1…
NVD
https://github.com/python/cpython/commit/7852d72b653fea0199acf5fc2a84f6f8b84eba…
NVD
https://github.com/python/cpython/commit/918387e4912d12ffc166c8f2a38df92b6ec756…
NVD
https://github.com/python/cpython/commit/b1869ff648bbee0717221d09e6deff46617f3e…
NVD