Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-42472

Опубликовано: 16 фев. 2023
Источник: nvd
CVSS3: 4.2
CVSS3: 5.4
EPSS Низкий

Описание

A improper neutralization of crlf sequences in http headers ('http response splitting') in Fortinet FortiOS versions 7.2.0 through 7.2.2, 7.0.0 through 7.0.8, 6.4.0 through 6.4.11, 6.2.0 through 6.2.12, 6.0.0 through 6.0.16, FortiProxy 7.2.0 through 7.2.1, 7.0.0 through 7.0.7, 2.0.0 through 2.0.10, 1.2.0 through 1.2.13, 1.1.0 through 1.1.6 may allow an authenticated and remote attacker to perform an HTTP request splitting attack which gives attackers control of the remaining headers and body of the response.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:*
Версия от 1.1.0 (включая) до 1.1.6 (включая)
cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:*
Версия от 1.2.0 (включая) до 1.2.13 (включая)
cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:*
Версия от 2.0.0 (включая) до 2.0.10 (включая)
cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:*
Версия от 7.0.0 (включая) до 7.0.7 (включая)
cpe:2.3:a:fortinet:fortiproxy:7.2.0:*:*:*:*:*:*:*
cpe:2.3:a:fortinet:fortiproxy:7.2.1:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Версия от 6.0.1 (включая) до 6.0.16 (включая)
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Версия от 6.2.0 (включая) до 6.2.12 (включая)
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Версия от 6.4.0 (включая) до 6.4.11 (включая)
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Версия от 7.0.0 (включая) до 7.0.8 (включая)
cpe:2.3:o:fortinet:fortios:7.2.0:*:*:*:*:*:*:*
cpe:2.3:o:fortinet:fortios:7.2.1:*:*:*:*:*:*:*
cpe:2.3:o:fortinet:fortios:7.2.2:*:*:*:*:*:*:*

EPSS

Процентиль: 66%
0.00507
Низкий

4.2 Medium

CVSS3

5.4 Medium

CVSS3

Дефекты

CWE-113
CWE-74

Связанные уязвимости

github логотип

GHSA-2c29-h3hm-8953

CVSS3: 5.4
github
почти 3 года назад

A improper neutralization of crlf sequences in http headers ('http response splitting') in Fortinet FortiOS versions 7.2.0 through 7.2.2, 7.0.0 through 7.0.8, 6.4.0 through 6.4.11, 6.2.0 through 6.2.12, 6.0.0 through 6.0.16, FortiProxy 7.2.0 through 7.2.1, 7.0.0 through 7.0.7, 2.0.0 through 2.0.10, 1.2.0 through 1.2.13, 1.1.0 through 1.1.6 may allow an authenticated and remote attacker to perform an HTTP request splitting attack which gives attackers control of the remaining headers and body of the response.

fstec логотип

BDU:2023-08463

CVSS3: 4.2
fstec
почти 3 года назад

Уязвимость операционной системы FortiOS, связанная с непринятием мер по обработке последовательностей CRLF в HTTP-заголовках, позволяющая нарушителю внедрить произвольные HTTP-заголовки

EPSS

Процентиль: 66%
0.00507
Низкий

4.2 Medium

CVSS3

5.4 Medium

CVSS3

Дефекты

CWE-113
CWE-74