从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Request processing race condition in HTTP pipelining with invalid first request - 发布者:digitalresistor - 漏洞编号:GHSA-9298-4cf8-g4wj - 发布时间:16小时之前 2. 漏洞影响: - 受影响的版本:>=2.0.0,<3.0.1 - 已修复的版本:3.0.1 3. 漏洞严重性: - 严重性等级:Critical - CVSS v3 base metrics: - 攻击向量:Network - 攻击复杂性:Low - 权限要求:None - 用户交互:None - 影响范围:Unchanged - 机密性:High - 完整性:High - 可用性:None 4. 漏洞描述: - 当请求预览被禁用(默认设置)时,我们不会读取更多的请求,当第一个请求因解析错误而失败时,我们简单地关闭连接。 - 当请求预览被启用时,有可能处理并接收第一个请求,开始向客户端发送错误消息,同时读取下一个请求并将其排队。这将允许第二个请求由工作线程服务,而连接应该被关闭。 5. 修复措施: - 修复版本:Waitress 3.0.1 - 工作原理:禁用 ,这是默认设置,禁用了此功能。对于此漏洞,此值需要从默认值更改。 6. 更多信息: - 问题或评论:可以在GitHub上打开问题或评论(如果与安全无关)。 - 安全相关问题:可以通过电子邮件联系Pylons安全邮件列表。 7. 感谢: - 贡献者:m4yfly和urn1ce来自TianGong团队的Legendsec at Qi'anxin Group。 这些信息提供了关于漏洞的详细描述、影响范围、修复措施和更多信息的途径。