目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-444 HTTP请求的解释不一致性(HTTP请求私运) 类漏洞列表 165

CWE-444 HTTP请求的解释不一致性(HTTP请求私运) 类弱点 165 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-444指HTTP请求/响应走私漏洞,属于中间件解释不一致型缺陷。当代理或防火墙与后端服务器对畸形HTTP消息解析逻辑不同时,攻击者可利用此差异构造恶意请求,绕过安全控制或劫持用户会话。开发者应避免使用存在解析歧义的中间件,确保所有HTTP组件采用统一的解析标准,并严格校验请求边界,以消除解释不一致的风险。

MITRE CWE 官方描述
CWE:CWE-444 HTTP 请求解释不一致('HTTP 请求/响应走私') 该产品在数据流中充当两个实体(如客户端和服务器)之间的中间 HTTP 代理(例如代理服务器或防火墙),但它未能以与最终目的地实体处理消息的方式一致的方式来解释格式错误的 HTTP 请求或响应。 HTTP 请求或响应(“消息”)可能以导致 Web 服务器或客户端与中间 HTTP 代理(如负载均衡器、反向代理、Web 缓存代理、应用防火墙等)以不同方式解释这些消息的方式出现格式错误或意外情况。例如,攻击者可能能够添加重复或不同的头部字段,客户端或服务器可能将其解释为一组消息,而中间代理可能将相同的字节序列解释为另一组不同的消息。例如,在处理重复头部(如两个 Transfer-encoding (TE) 或两个 Content-length (CL))时可能会出现差异,或者恶意的 HTTP 消息中 TE 和 CL 的头部不同。消息解析和解释的不一致可能允许攻击者将消息“走私”到客户端/服务器,而中间代理对此毫无察觉。这种弱点通常是由于 HTTP 代理中使用了过时或不兼容的 HTTP 协议版本所致。
常见影响 (1)
Integrity, Non-Repudiation, Access ControlUnexpected State, Hide Activities, Bypass Protection Mechanism
An attacker could create HTTP messages to exploit a number of weaknesses including 1) the message can trick the web server to associate a URL with another URL's webpage and caching the contents of the webpage (web cache poisoning attack), 2) the message can be structured to bypass the firewall prote…
缓解措施 (4)
ImplementationUse a web server that employs a strict HTTP parsing procedure, such as Apache [REF-433].
ImplementationUse only SSL communication.
ImplementationTerminate the client session after each request.
System ConfigurationTurn all pages to non-cacheable.
代码示例 (2)
In the following example, a malformed HTTP request is sent to a website that includes a proxy server and a web server with the intent of poisoning the cache to associate one webpage with another malicious webpage.
POST http://www.website.com/foobar.html HTTP/1.1 Host: www.website.com Connection: Keep-Alive Content-Type: application/x-www-form-urlencoded Content-Length: 0 Content-Length: 54 GET /poison.html HTTP/1.1 Host: www.website.com Bla: GET http://www.website.com/page_to_poison.html HTTP/1.1 Host: www.website.com Connection: Keep-Alive
Attack
GET /poison.html HTTP/1.1 Host: www.website.com Bla:
Result
In the following example, a malformed HTTP request is sent to a website that includes a web server with a firewall with the intent of bypassing the web server firewall to smuggle malicious code into the system.
POST /page.asp HTTP/1.1 Host: www.website.com Connection: Keep-Alive Content-Length: 49223 zzz...zzz ["z" x 49152] POST /page.asp HTTP/1.0 Connection: Keep-Alive Content-Length: 30 POST /page.asp HTTP/1.0 Bla: POST /page.asp?cmd.exe HTTP/1.0 Connection: Keep-Alive
Attack
CVE ID标题CVSS风险等级Published
CVE-2026-40562 Gazelle Perl 0.49 及以下版本 HTTP 请求 smuggling 漏洞 — Gazelle--2026-05-06
CVE-2026-40561 Perl Starlet 0.31 及之前版本 请求走私漏洞 — Starlet 7.5AIHighAI2026-05-03
CVE-2026-39805 Bandit HTTP请求 smuggling漏洞 — bandit 9.1AICriticalAI2026-05-01
CVE-2026-40560 Starman 环境问题漏洞 — Starman 7.5AIHighAI2026-04-28
CVE-2026-41873 Apache Pony Mail 环境问题漏洞 — Pony Mail 9.8AICriticalAI2026-04-28
CVE-2026-2708 libsoup 环境问题漏洞 — Red Hat Enterprise Linux 10 3.7 Low2026-04-23
CVE-2025-31958 HCL BigFix Service Management 安全漏洞 — BigFix Service Management (SM) 3.7 Low2026-04-21
CVE-2026-2332 Eclipse Jetty 环境问题漏洞 — Eclipse Jetty 7.4 High2026-04-14
CVE-2026-24880 Apache Tomcat 环境问题漏洞 — Apache Tomcat 9.1AICriticalAI2026-04-09
CVE-2026-31842 Tinyproxy 安全漏洞 — Tinyproxy 7.5 High2026-04-07
CVE-2025-65114 Apache Traffic Server 安全漏洞 — Apache Traffic Server 7.5AIHighAI2026-04-02
CVE-2026-1491 IBM多款产品 环境问题漏洞 — Verify Identity Access Container 5.3 Medium2026-04-01
CVE-2026-2862 IBM Verify Identity Access Container和IBM Verify Identity Access 环境问题漏洞 — Verify Identity Access Container 5.3 Medium2026-04-01
CVE-2026-34441 cpp-httplib 环境问题漏洞 — cpp-httplib 4.8 Medium2026-03-31
CVE-2026-33870 Netty 环境问题漏洞 — netty 7.5 High2026-03-27
CVE-2026-28369 Undertow 环境问题漏洞 — Red Hat build of Apache Camel for Spring Boot 4 8.7 High2026-03-27
CVE-2026-28367 Undertow 环境问题漏洞 — Red Hat build of Apache Camel for Spring Boot 4 8.7 High2026-03-27
CVE-2026-28368 Undertow 环境问题漏洞 — Red Hat build of Apache Camel for Spring Boot 4 8.7 High2026-03-27
CVE-2026-4742 LiteIDE 安全漏洞 — liteide 6.5 -2026-03-24
CVE-2026-29057 Next.js 环境问题漏洞 — next.js 9.1 -2026-03-18
CVE-2026-23941 Erlang/OTP 安全漏洞 — OTP 8.2 -2026-03-13
CVE-2026-1525 undici 安全漏洞 — undici 6.5 Medium2026-03-12
CVE-2026-32239 capnproto 环境问题漏洞 — capnproto 7.5AIHighAI2026-03-12
CVE-2026-2835 Pingora 安全漏洞 — https://github.com/cloudflare/pingora 7.5AIHighAI2026-03-04
CVE-2026-2833 Pingora 安全漏洞 — https://github.com/cloudflare/pingora 7.5AIHighAI2026-03-04
CVE-2026-20069 Cisco Secure Firewall Adaptive Security Appliance和Cisco Secure Firewall Threat Defense 环境问题漏洞 — Cisco Secure Firewall Adaptive Security Appliance (ASA) Software 4.3 Medium2026-03-04
CVE-2026-26365 Akamai Ghost 环境问题漏洞 — Ghost 4.0 Medium2026-02-23
CVE-2025-12811 Delinea Cloud Suite 安全漏洞 — Cloud Suite and Privileged Access Service 8.2AIHighAI2026-02-18
CVE-2025-55018 Fortinet FortiOS 环境问题漏洞 — FortiOS 5.2 Medium2026-02-10
CVE-2026-1801 libsoup 环境问题漏洞 — Red Hat Enterprise Linux 10 5.3 Medium2026-02-03

CWE-444(HTTP请求的解释不一致性(HTTP请求私运)) 是常见的弱点类别,本平台收录该类弱点关联的 165 条 CVE 漏洞。