CVE-2022-24775

Improper Input Validation in guzzlehttp/psr7

CVSS 7.5 HIGHEPSS 2.4%CWE-20

En resumen

La biblioteca guzzlehttp/psr7 no valida correctamente los headers HTTP, permitiendo que atacantes inyecten caracteres de nueva línea y valores maliciosos en los headers. Esto puede explotarse para ataques de inyección HTTP que comprometen la integridad de las solicitudes.

Detalle técnico

La vulnerabilidad existe en la lógica de parsing de headers que no sanitiza caracteres de nueva línea (CWE-20: Validación Impropia de Entrada). Un atacante puede inyectar headers arbitrarios al incorporar secuencias CRLF en los valores de headers, potencialmente habilitando ataques de inyección HTTP. Se corrigió en las versiones 1.8.4 y 2.1.1.

Resumen generado y traducido por IA a partir de la descripción oficial.

guzzlehttp/psr7 is a PSR-7 HTTP message library. Versions prior to 1.8.4 and 2.1.1 are vulnerable to improper header parsing. An attacker could sneak in a new line character and pass untrusted values. The issue is patched in 1.8.4 and 2.1.1. There are currently no known workarounds.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Productos afectados

guzzle · psr7

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/guzzle/psr7/pull/485/commits/e55afaa3fc138c89adf3b55a8ba20dc60d17f1f1 https://github.com/guzzle/psr7/pull/486/commits/9a96d9db668b485361ed9de7b5bf1e54895df1dc https://github.com/guzzle/psr7/security/advisories/GHSA-q7rv-6hp3-vh96 https://www.drupal.org/sa-core-2022-006