CVE-2025-22871
KrytyczneStreszczenie
Pakiet net/http niewłaściwie akceptuje pojedynczy znak LF jako terminator linii w liniach rozmiaru chunków danych. Może to umożliwić smuggling żądań, jeśli serwer net/http jest używany w połączeniu z serwerem, który błędnie akceptuje pojedynczy LF jako część chunk-ext.
Ocena ryzyka
Organizacje mogą być narażone na ataki smugglingu żądań, co może prowadzić do nieautoryzowanego dostępu do danych lub wykonania niepożądanych operacji na serwerze.
Rekomendacja
Zaleca się aktualizację pakietu net/http oraz monitorowanie konfiguracji serwerów, aby upewnić się, że nie akceptują one pojedynczego LF jako części chunk-ext.
Oryginalny opis (angielski, źródło NVD)
The net/http package improperly accepts a bare LF as a line terminator in chunked data chunk-size lines. This can permit request smuggling if a net/http server is used in conjunction with a server that incorrectly accepts a bare LF as part of a chunk-ext.

