关键漏洞信息 漏洞概述 CVE ID: CVE-2023-53104 类型: CRLF Injection in AsyncWebHeader.cpp 受影响版本: <= 3.7.8 修复版本: 3.7.9 严重性: 高 漏洞描述 在 类的构造函数中,未对输入数据进行验证或清理,允许攻击者注入 CR ( ) 或 LF ( ) 字符到 HTTP 头部名称或值中,导致头部注入或响应操纵。 漏洞代码 影响 HTTP Response Splitting: 攻击者可以注入额外的头部或操纵 HTTP 响应结构,导致跨站脚本(XSS)、缓存中毒、会话劫持和绕过 CORS 安全头等攻击。 通用协议违规: 无效的 HTTP 头部或畸形响应可能导致客户端崩溃或启用其他攻击向量。 推荐修复 拒绝不安全输入: 在构造函数中立即拒绝包含 CR ( ) 或 LF ( ) 字符的头部名称或值,并抛出异常。 示例修复代码: 参考资料 OWASP: HTTP Response Splitting CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') CWE-113: Improper Neutralisation of CRLF Sequences in HTTP Headers ('HTTP Response Splitting')