关键漏洞信息 漏洞类型: CRLF Injection 受影响的组件: - - 受影响的版本: - 5.0.x, 5.1.x, 5.2.x, 6.0.x, 6.1.x, 6.2.x (所有当前版本) CVE编号: CVE-2022-29631 漏洞细节 问题: 远程攻击者可以通过在URL中注入CRLF序列来注入任意TCP负载。 具体问题: - 在 处理路径时, 被调用,并允许注入 到查询字符串和路径及片段中。 - 在 中,当尝试构建HTTP请求负载时, 被调用,但路径、查询字符串、片段和其他组件被不安全地追加,导致CRLF注入。 证据(POC代码示例) 建议修复方法 在构建HTTP请求负载时,推荐对无效字符进行URL编码。