Проблема была обнаружена в HAProxy до версии 3.3.6. Анализатор HTTP/3 не проверяет, соответствует ли полученная длина тела ранее объявленной длине контента, когда поток закрывается через кадр с пустой полезной нагрузкой. Это может вызвать проблемы с десинхронизацией внутреннего сервера и может использоваться для перенаправления запросов.
Самая ранняя затронутая версия — 2.6.
Показать оригинальное описание (EN)
An issue was discovered in HAProxy before 3.3.6. The HTTP/3 parser does not check that the received body length matches a previously announced content-length when the stream is closed via a frame with an empty payload. This can cause desynchronization issues with the backend server and could be used for request smuggling. The earliest affected version is 2.6.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1