Source |
CVE Liste |
Identifiant |
8400574 |
Date de publication |
2023-10-25 21:15:10 (vue: 2023-10-25 23:08:43) |
Titre |
CVE-2023-46137 |
Texte |
Twisted est un cadre basé sur des événements pour les applications Internet.Avant la version 23.10.0rc1, lors de l'envoi de plusieurs demandes HTTP dans un paquet TCP, Twisted.web traitera les demandes de manière asynchrone sans garantir l'ordre de réponse.Si l'un des points de terminaison est contrôlé par un attaquant, l'attaquant peut retarder la réponse exprès pour manipuler la réponse de la deuxième demande lorsqu'une victime a lancé deux demandes à l'aide du pipeline HTTP.La version 23.10.0rc1 contient un correctif pour ce problème.
Twisted is an event-based framework for internet applications. Prior to version 23.10.0rc1, when sending multiple HTTP requests in one TCP packet, twisted.web will process the requests asynchronously without guaranteeing the response order. If one of the endpoints is controlled by an attacker, the attacker can delay the response on purpose to manipulate the response of the second request when a victim launched two requests using HTTP pipeline. Version 23.10.0rc1 contains a patch for this issue. |
Envoyé |
Oui |
Condensat |
0rc1 2023 46137 applications asynchronously attacker based can contains controlled cve delay endpoints event framework guaranteeing http internet issue launched manipulate multiple one order packet patch pipeline prior process purpose request requests response second sending tcp twisted two using version victim web when will without |
Tags |
|
Stories |
|
Notes |
|
Move |
|