【漏洞预警】 Waitress环境问题漏洞(CVE-2022-24761)

admin 2022年3月23日14:53:56安全漏洞评论67 views645字阅读2分9秒阅读模式

 01



漏洞描述





Waitress是一款用于Python的WSGI(Web服务器网关接口)服务器。
Waitress 2.1.0及其之前版本存在环境问题漏洞,该漏洞源于软件代理无法正确验证传入的 HTTP请求是否符合标准,该漏洞允许通过前端代理走私到Waitress和其之后的行为。此漏洞已在 Waitress 2.1.1 中修补。解决方法可用在Waitress面前部署代理时,请打开任何和所有功能,以确保请求符合 RFC7230 标准。某些代理服务器可能没有此功能,因此鼓励用户升级到最新版本的Waitress。

 02

漏洞危害



Waitress 是 Python 2和 3 的 Web Server GatewayInterface 服务器。当在未正确验证传入的 HTTP 请求是否符合 RFC7230 标准的代理后面使用 Waitress 版本 2.1.0 及更早版本时,Waitress 和前端代理可能会在一个请求的开始位置和结束位置上存在分歧。这将允许请求通过前端代理走私给Waitress和之后的行为。

 03

影响范围





Waitress Waitress <=2.1.0

 04

漏洞等级

   

  高


 05

修复方案


目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/Pylons/waitress/security/advisories/GHSA-4f7p-27jc-3c36



















END

长按识别二维码,了解更多


【漏洞预警】 Waitress环境问题漏洞(CVE-2022-24761)


原文始发于微信公众号(易东安全研究院):【漏洞预警】 Waitress环境问题漏洞(CVE-2022-24761)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月23日14:53:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】 Waitress环境问题漏洞(CVE-2022-24761) https://cn-sec.com/archives/837240.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: