关键信息 漏洞描述 标题: Streams HTTP wrapper does not fail for headers with invalid name and no colon CVE ID: CVE-2025-1734 严重性: Moderate 影响版本和修复版本 描述 当前没有冒号的头部被返回在 中,这可能导致类似以下代码的行为: 结果在 中显示为: 此外,包含空格的头部名称也不会失败,这不符合RFC规范。 影响 这可能导致应用程序在解析数组时出现问题,例如应用程序可能将其视为有效头部或上一个头部的延续,从而导致安全问题。在这种情况下,可能会发生某种形式的请求走私。 解决方案 用户可以对 进行特殊处理。对于这种类型的头部,不会触发通知,因此不需要额外的处理。