重复公告：Dio 包中 CRLF 序列的不当处理

漏洞详情

包管理器: Pub

包名称: dio

受影响版本: < 5.0.0

已修复版本: 5.0.0

漏洞描述

重复公告

此公告已被撤销，因为它是 GHSA-9324-jv53-9cc8 的重复公告。保留此链接是为了维护外部引用。

原始描述

Dart 的 dio 包在 5.0.0 版本之前，如果攻击者控制 HTTP 方法字符串，则允许 CRLF 注入，这是一个与 CVE-2020-35669 不同的漏洞。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2021-31402

• cfug/dio#1130

• cfug/dio@927f79e

• https://osv.dev/GHSA-jwpw-q68h-r678

安全信息

严重程度: 高危

CVSS 总体评分: 7.5/10

CVSS v3 基础指标:

• 攻击向量: 网络

• 攻击复杂度: 低

• 所需权限: 无

• 用户交互: 无

• 范围: 未改变

• 机密性: 高

• 完整性: 无

• 可用性: 无

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

弱点类型

• CWE-74: 输出中特殊元素的不当中和（注入）

• CWE-88: 命令中参数分隔符的不当中和（参数注入）

• CWE-93: CRLF 序列的不当中和（CRLF 注入）

时间线

• 国家漏洞数据库发布: 2021 年 4 月 15 日

• GitHub 咨询数据库发布: 2022 年 5 月 24 日

• 审核: 2022 年 9 月 15 日

• 最后更新: 2023 年 10 月 5 日

• 撤销: 2023 年 10 月 5 日

源代码

• 仓库: cfug/dio

致谢

• 分析师: AlexV525 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享