В libsoup — библиотеке, используемой приложениями для отправки сетевых запросов, была обнаружена уязвимость. Эта уязвимость возникает из-за того, что libsoup не проверяет имена хостов должным образом, позволяя вводить специальные символы в заголовки HTTP. Удаленный злоумышленник может использовать это для контрабанды HTTP, при этом он может отправлять скрытые вредоносные запросы наряду с законными.
В определенных ситуациях это может привести к подделке запросов на стороне сервера (SSRF), позволяющей злоумышленнику заставить сервер отправлять несанкционированные запросы к другим внутренним или внешним системам. Влияние невелико, поскольку SoupServer фактически не используется в интернет-инфраструктуре.
Показать оригинальное описание (EN)
A flaw was found in libsoup, a library used by applications to send network requests. This vulnerability occurs because libsoup does not properly validate hostnames, allowing special characters to be injected into HTTP headers. A remote attacker could exploit this to perform HTTP smuggling, where they can send hidden, malicious requests alongside legitimate ones. In certain situations, this could lead to Server-Side Request Forgery (SSRF), enabling an attacker to force the server to make unauthorized requests to other internal or external systems. The impact is low, as SoupServer is not actually used in internet infrastructure.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 6
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gnome Libsoup
cpe:2.3:a:gnome:libsoup:-:*:*:*:*:*:*:*
|
— | — |
|
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*
|
— | — |
|
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
|
— | — |
|
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
|
— | — |
|
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:*
|
— | — |
|
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:10.0:*:*:*:*:*:*:*
|
— | — |