01
漏洞描述
Waitress是一款用于Python的WSGI(Web服务器网关接口)服务器。
Waitress 2.1.0及其之前版本存在环境问题漏洞,该漏洞源于软件代理无法正确验证传入的 HTTP请求是否符合标准,该漏洞允许通过前端代理走私到Waitress和其之后的行为。此漏洞已在 Waitress 2.1.1 中修补。解决方法可用在Waitress面前部署代理时,请打开任何和所有功能,以确保请求符合 RFC7230 标准。某些代理服务器可能没有此功能,因此鼓励用户升级到最新版本的Waitress。
02
漏洞危害
Waitress 是 Python 2和 3 的 Web Server GatewayInterface 服务器。当在未正确验证传入的 HTTP 请求是否符合 RFC7230 标准的代理后面使用 Waitress 版本 2.1.0 及更早版本时,Waitress 和前端代理可能会在一个请求的开始位置和结束位置上存在分歧。这将允许请求通过前端代理走私给Waitress和之后的行为。
03
影响范围
Waitress Waitress <=2.1.0
04
漏洞等级
高危
05
修复方案
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/Pylons/waitress/security/advisories/GHSA-4f7p-27jc-3c36
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】 Waitress环境问题漏洞(CVE-2022-24761)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论