一、 漏洞 CVE-2025-22871 基础信息
漏洞信息
# 由于 net/http 接受无效的分块数据而导致的请求走私漏洞
## 漏洞概述
net/http 包错误地将裸 LF(换行符)作为分块数据中 chunk-size 行的行终止符。这可能导致请求走私攻击,如果 net/http 服务器与错误地接受裸 LF 作为 chunk-ext 部分的服务器一起使用。
## 影响版本
未指定具体影响版本。
## 漏洞细节
net/http 包在处理分块编码时未能正确验证 chunk-size 行的行终止符。由于这个漏洞,攻击者可以利用此漏洞在某些场景下进行请求走私攻击,特别是在与接受裸 LF 作为 chunk-ext 部分的服务器一起使用时,这种情形更容易发生。
## 影响
该漏洞可能导致请求走私攻击,进而可能使攻击者操纵服务器处理的方式,影响服务器的安全性和稳定性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Request smuggling due to acceptance of invalid chunked data in net/http
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The net/http package improperly accepts a bare LF as a line terminator in chunked data chunk-size lines. This can permit request smuggling if a net/http server is used in conjunction with a server that incorrectly accepts a bare LF as part of a chunk-ext.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Google Go 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Google Go是美国谷歌(Google)公司的一种静态强类型、编译型、并发型,并具有垃圾回收功能的编程语言。 Google Go存在安全漏洞,该漏洞源于接受裸LF作为分块数据行终止符,允许请求走私。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-22871 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-22871 的情报信息
![[security] Go 1.24.2 and Go 1.23.8 are released](https://cvepdf.imfht.com:2443//ti_screenshot/2025-04-09/screenshot-full-2025-04-09T18-24-04.500Z-0ecde3f0096e530525a1.webp)
四、漏洞 CVE-2025-22871 的评论
暂无评论