CVE-2025-60876
ŚrednieCVSS 6.5Streszczenie
BusyBox wget w wersji do 1.3.7 akceptował surowe znaki CR (0x0D)/LF (0x0A) oraz inne bajty kontrolne C0 w celu żądania HTTP, co pozwalało na podział linii żądania i wstrzykiwanie nagłówków kontrolowanych przez atakującego. Aby zachować poprawny format linii żądania HTTP/1.1, surowa spacja (0x20) w żądaniu musi być również odrzucona.
Ocena ryzyka
Podatność ta może prowadzić do wstrzykiwania złośliwych nagłówków w żądania HTTP, co stwarza ryzyko przejęcia kontroli nad komunikacją oraz potencjalnych ataków na aplikacje webowe. Organizacje powinny być świadome możliwości manipulacji danymi przesyłanymi przez ich serwery.
Rekomendacja
Zaleca się aktualizację BusyBox do najnowszej wersji, która eliminuje tę podatność oraz wdrożenie filtrów, które odrzucają nieprawidłowe znaki w żądaniach HTTP.
Oryginalny opis (angielski, źródło NVD)
BusyBox wget thru 1.3.7 accepted raw CR (0x0D)/LF (0x0A) and other C0 control bytes in the HTTP request-target (path/query), allowing the request line to be split and attacker-controlled headers to be injected. To preserve the HTTP/1.1 request-line shape METHOD SP request-target SP HTTP/1.1, a raw space (0x20) in the request-target must also be rejected (clients should use %20).

