Podatność CVE-2016-1000111
Publikacja: 2020-03-11

Opis:
Twisted before 16.3.1 does not attempt to address RFC 3875 section 4.1.18 namespace conflicts and therefore does not protect CGI applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect a CGI application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue.

Typ:

CWE-425

 (Direct Request ('Forced Browsing'))

CVSS2 => (AV:N/AC:L/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5/10
2.9/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Twistedmatrix -> Twisted 

 Referencje:
http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2016-3090545.html
https://twistedmatrix.com/pipermail/twisted-web/2016-August/005268.html
https://twistedmatrix.com/trac/ticket/8623
https://www.openwall.com/lists/oss-security/2016/07/18/6
Copyright 2024, cxsecurity.com

 

Back to Top