Куда я попал?
CVE-2024-11234
PUBLISHED
24.11.2024
CNA: php
Configuring a proxy in a stream context might allow for CRLF injection in URIs
Обновлено:
24.11.2024
In PHP versions 8.1.* before 8.1.31, 8.2.* before 8.2.26, 8.3.* before 8.3.14, when using streams with configured proxy and "request_fulluri" option, the URI is not properly sanitized which can lead to HTTP request smuggling and allow the attacker to use the proxy to perform arbitrary HTTP requests originating from the server, thus potentially gaining access to resources not normally available to the external user.
CWE
| Идентификатор | Описание |
|---|---|
| CWE-20 | Некорректная проверка входных данных |
БДУ ФСТЭК
| Идентификатор | Описание |
|---|---|
| BDU:2024-10555 | Уязвимость конфигурации request_fulluri интерпретатора языка программирования PHP, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
CVSS
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 4.8 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N |
Доп. Информация
Product Status
| PHP | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Product: | PHP | ||||||||
| Vendor: | PHP Group | ||||||||
| Default status: | unaffected | ||||||||
| Версии: |
|
||||||||
Ссылки
CISA ADP Vulnrichment
Обновлено:
24.11.2024
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.
SSVC
| Exploitation | Automatable | Technical Impact | Версия | Дата доступа |
|---|---|---|---|---|
| none | no | partial | 2.0.3 | 24.11.2024 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.