安全公告/【CVE-2022-39348】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:中危
影响源码包:python-twisted
CVSS评分:5.4
发现日期:2024-09-19
修复日期:2024-10-15
修复版本:

漏洞描述

Twisted 是一个基于事件的互联网应用框架。从 0.9.4 版开始,当主机头与配置的主机不匹配时,`twisted.web.vhost.NameVirtualHost` 将返回 `NoResource` 资源,该资源将 Host 头未转义地呈现到 404 响应中,从而允许 HTML 和脚本注入。实际上,这应该很难被利用,因为能够修改正常 HTTP 请求的 Host 头意味着已经处于特权位置。此问题已在 22.10.0rc1 版中修复。没有已知的解决方法。

漏洞判定


        

修复方式

软件包升级
yum update python-twisted

补丁