漏洞概述 漏洞名称:Missing validation of cookie name on write path in setCookie() 漏洞描述:在使用 、 或 生成 Set-Cookie 头时,未对 cookie 名称进行验证。虽然某些 cookie 属性(如 domain 和 path)会被验证,但 cookie 名称本身可能包含无效字符。这导致在解析(读取路径)和序列化(写入路径)之间对 cookie 名称的处理不一致。 示例: 影响范围 受影响版本: 修复版本: 影响:应用程序在使用未经验证的输入作为 cookie 名称调用 、 或 时,可能会因无效头值而遇到运行时错误。在测试环境中,无效的 Set-Cookie 头在被发送之前被拒绝,因此无法重现报告的头部注入行为。此问题主要影响正确性和鲁棒性,而非引入已确认的可利用漏洞。 修复方案 修复版本:升级到 或更高版本。 其他信息 CVSS v3 基础指标: - 攻击向量:网络 - 攻击复杂度:低 - 所需权限:无 - 用户交互:无 - 范围:未改变 - 机密性:无 - 完整性:无 - 可用性:低 CVSS 评分:5.3 / 10 CVE ID:无已知 CVE 弱点:CWE-113 贡献者:athuljayaram(报告者)