一、 漏洞 CVE-2025-58068 基础信息
漏洞信息
                                        # Eventlet HTTP 请求走私漏洞

## 概述

Eventlet 是一个用于 Python 的并发网络库。在版本 0.40.3 之前,其 WSGI 解析器存在因未正确处理 HTTP trailer 部分而导致的 HTTP 请求走私(HTTP Request Smuggling)漏洞。

## 影响版本

- 所有版本 < 0.40.3

## 细节

- Eventlet 的 WSGI 组件在解析 HTTP 请求时未能正确处理 HTTP trailer 部分。
- 这可能导致请求解析歧义,从而被攻击者利用进行 HTTP 请求走私。
- 攻击者可借此绕过前端安全控制、对网站用户发起针对性攻击,并污染 Web 缓存。

## 影响

- 可导致安全机制被绕过。
- 用户可能遭受针对性攻击。
- Web 缓存可能被恶意污染。

## 修复与缓解

- 此问题已在 0.40.3 版本中修复,修复方式为直接忽略 trailer 部分(该变更会影响依赖 trailer 的后端服务)。
- 如无法升级,建议避免将 `eventlet.wsgi` 用作面向不可信客户端的代理服务。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Eventlet affected by HTTP request smuggling in unparsed trailers
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Eventlet is a concurrent networking library for Python. Prior to version 0.40.3, the Eventlet WSGI parser is vulnerable to HTTP Request Smuggling due to improper handling of HTTP trailer sections. This vulnerability could enable attackers to, bypass front-end security controls, launch targeted attacks against active site users, and poison web caches. This problem has been patched in Eventlet 0.40.3 by dropping trailers which is a breaking change if a backend behind eventlet.wsgi proxy requires trailers. A workaround involves not using eventlet.wsgi facing untrusted clients.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
HTTP请求的解释不一致性(HTTP请求私运)
来源:美国国家漏洞数据库 NVD
漏洞标题
Eventlet 环境问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Eventlet是Python的一个并发网络库。 Eventlet 0.40.3之前版本存在环境问题漏洞,该漏洞源于HTTP请求夹带处理不当,可能导致前端安全控制绕过。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
环境问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-58068 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-58068 的情报信息

  • 标题: wsgi: discard trailers by sebastianosrt · Pull Request #1062 · eventlet/eventlet · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    wsgi: discard trailers by sebastianosrt · Pull Request #1062 · eventlet/eventlet · GitHub

  • 标题: HTTP Request Smuggling due to improper handling of HTTP trailer section · Advisory · eventlet/eventlet · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    HTTP Request Smuggling due to improper handling of HTTP trailer section · Advisory · eventlet/eventlet · GitHub

  • 标题: [SECURITY] Fix request smuggling vulnerability by discarding trailers… · eventlet/eventlet@0bfebd1 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    [SECURITY] Fix request smuggling vulnerability by discarding trailers… · eventlet/eventlet@0bfebd1 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-58068
四、漏洞 CVE-2025-58068 的评论

暂无评论

发表评论