关键信息 漏洞ID: CVE-2023-10148 漏洞类型: 可预测的WebSocket掩码 报告日期: 2023年9月6日 严重性: 低(1.5/10) 披露日期: 2023年9月10日 CVE ID: CVE-2023-10148 漏洞描述 摘要: curl的WebSocket实现为每个连接生成一个固定的掩码密钥,这使得攻击者可以预测后续帧的掩码。 受影响版本: 所有包含WebSocket支持的curl版本。 修复措施: 无具体修复步骤提供。 技术细节 掩码密钥生成: 在Zlib流中,掩码密钥是可预测的。 示例链接: - 示例1 - 示例2 - 示例3 安全影响 RFC 6455 5.3节: 掩码密钥应由客户端随机生成。当发送未掩码的帧时,掩码密钥必须从至少32位的熵源中生成,并且不能被预测。对于给定的帧,掩码密钥不应相同,以防止恶意应用程序通过猜测掩码密钥来混淆后续帧的内容。