Katalog CVE

CVE-2025-22871

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Pakiet net/http niewłaściwie akceptuje pojedynczy znak LF jako terminator linii w liniach rozmiaru chunków danych. Może to umożliwić smuggling żądań, jeśli serwer net/http jest używany w połączeniu z serwerem, który błędnie akceptuje pojedynczy LF jako część chunk-ext.

Ocena ryzyka

Organizacje mogą być narażone na ataki smugglingu żądań, co może prowadzić do nieautoryzowanego dostępu do danych lub wykonania niepożądanych operacji na serwerze.

Rekomendacja

Zaleca się aktualizację pakietu net/http oraz monitorowanie konfiguracji serwerów, aby upewnić się, że nie akceptują one pojedynczego LF jako części chunk-ext.

Oryginalny opis (angielski, źródło NVD)

The net/http package improperly accepts a bare LF as a line terminator in chunked data chunk-size lines. This can permit request smuggling if a net/http server is used in conjunction with a server that incorrectly accepts a bare LF as part of a chunk-ext.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS