关键信息摘要 漏洞概述 报告编号: #1524692 报告时间: 2022年3月28日,下午4:07(UTC) 报告人: zeyu2001 报告对象: Node.js 漏洞详情 漏洞标题: 由于头部字段分隔不当导致的HTTP请求走私 摘要: Node.js v17.8.0中的 模块的 解析器没有严格使用CRLF序列来分隔HTTP请求,可能导致HTTP请求走私(HRS)。 详细描述: 解析器中,LF字符(不带CR)就足以分隔HTTP头部字段。根据RFC7230第3节,只有CRLF序列应分隔每个头部字段。这将导致HTTP请求走私。 示例请求 漏洞影响 上游服务器行为: - 正确地通过CRLF序列分隔行,而不是仅使用LF。 - 错误地允许在头部值中使用LF字符。 导致结果: Node服务器看到一个额外的头部字段 ,而上游代理认为第一个请求的内容长度为0。 漏洞评估 漏洞严重性: 中等(6.5) CVE编号: CVE-2022-32214 披露日期: 2022年7月7日,下午5:26(UTC) 漏洞类型: HTTP请求走私 赏金: 无 账户详情: 无 解决状态 报告ID: #1524692 状态: 已解决