阿里云漏洞库

CVE编号

CVE-2019-20800

利用情况

暂无

补丁情况

N/A

披露时间

2020-05-18

在Cherokee到1.2.104中，远程攻击者可以通过发送多个请求头来触发handler_cgi.c中的cherokee_handler_cgi_add_env_pair中超出边界的写操作，例如带有多个“Host: 127.0.0.1”头的GET请求。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/cherokee/webserver/commit/0d669cf4c855e8dae1e3bcd8841f863e34b10ec8

参考链接
https://github.com/cherokee/webserver/issues/1224
https://logicaltrust.net/blog/2019/11/cherokee.html
https://security.gentoo.org/glsa/202012-09

CWE-ID	漏洞类型
CWE-787	跨界内存写