Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-1705

Опубликовано: 10 авг. 2022
Источник: nvd
CVSS3: 6.5
EPSS Низкий

Уязвимость HTTP Request Smuggling в Go из-за некорректной обработки "Transfer-Encoding"

Описание

В HTTP/1 клиенте пакета net/http в Go обнаружена уязвимость, связанная с некорректной обработкой некоторых недопустимых заголовков Transfer-Encoding. В сочетании с промежуточным сервером, который также некорректно обрабатывает эти заголовки, уязвимость может быть использована для выполнения атаки HTTP Request Smuggling.

Затронутые версии ПО

  • Go версий до 1.17.12
  • Go версий до 1.18.4

Тип уязвимости

Скрытая передача HTTP-запросов (HTTP request smuggling)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия до 1.17.12 (исключая)
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия от 1.18.0 (включая) до 1.18.4 (исключая)

EPSS

Процентиль: 14%
0.00045
Низкий

6.5 Medium

CVSS3

Дефекты

CWE-444

Связанные уязвимости

ubuntu логотип

CVE-2022-1705

CVSS3: 6.5
ubuntu
почти 3 года назад

Acceptance of some invalid Transfer-Encoding headers in the HTTP/1 client in net/http before Go 1.17.12 and Go 1.18.4 allows HTTP request smuggling if combined with an intermediate server that also improperly fails to reject the header as invalid.

redhat логотип

CVE-2022-1705

CVSS3: 6.5
redhat
почти 3 года назад

Acceptance of some invalid Transfer-Encoding headers in the HTTP/1 client in net/http before Go 1.17.12 and Go 1.18.4 allows HTTP request smuggling if combined with an intermediate server that also improperly fails to reject the header as invalid.

msrc логотип

CVE-2022-1705

CVSS3: 6.5
msrc
почти 3 года назад

Описание отсутствует

debian логотип

CVE-2022-1705

CVSS3: 6.5
debian
почти 3 года назад

Acceptance of some invalid Transfer-Encoding headers in the HTTP/1 cli ...

github логотип

GHSA-5hv8-7f46-fxf6

CVSS3: 6.5
github
почти 3 года назад

Acceptance of some invalid Transfer-Encoding headers in the HTTP/1 client in net/http before Go 1.17.12 and Go 1.18.4 allows HTTP request smuggling if combined with an intermediate server that also improperly fails to reject the header as invalid.

EPSS

Процентиль: 14%
0.00045
Низкий

6.5 Medium

CVSS3

Дефекты

CWE-444