中危 twisted.web 的 HTTP 管道响应无序 (CVE-2023-46137)

CVE编号

CVE-2023-46137

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-10-26
漏洞描述
Twisted is an event-based framework for internet applications. Prior to version 23.10.0rc1, when sending multiple HTTP requests in one TCP packet, twisted.web will process the requests asynchronously without guaranteeing the response order. If one of the endpoints is controlled by an attacker, the attacker can delay the response on purpose to manipulate the response of the second request when a victim launched two requests using HTTP pipeline. Version 23.10.0rc1 contains a patch for this issue.
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/twisted/twisted/security/advisories/GHSA-xc8x-vp79-p3wm
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 twistedmatrix twisted * Up to
(including)
22.8.0
运行在以下环境
系统 amazon_2023 python-twisted * Up to
(excluding)
22.4.0-126.amzn2023.0.3
运行在以下环境
系统 opensuse_Leap_15.4 python3-Twisted * Up to
(excluding)
22.2.0-150400.15.1
运行在以下环境
系统 opensuse_Leap_15.5 python3-Twisted * Up to
(excluding)
22.2.0-150400.15.1
运行在以下环境
系统 ubuntu_20.04 twisted * Up to
(excluding)
18.9.0-11ubuntu0.20.04.3
运行在以下环境
系统 ubuntu_22.04 twisted * Up to
(excluding)
22.1.0-2ubuntu2.4
阿里云评分
4.8
  • 攻击路径
    本地
  • 攻击复杂度
    困难
  • 权限要求
    管控权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-444 HTTP请求的解释不一致性(HTTP请求私运)
阿里云安全产品覆盖情况