一、漏洞详情
mitmproxy是一个交互式的、支持SSL/TLS的拦截代理,带有HTTP/1、HTTP/2和WebSockets的控制台界面。mitmproxy项目发布公告,修复了mitmproxy中的一个HTTP请求走私漏洞(CVE-2022-24766)。
在 mitmproxy 7.0.4 及之前的版本中,由于对HTTP请求走私的保护不足,恶意客户端或服务器能够通过mitmproxy执行HTTP请求走私攻击。这意味着恶意客户端/服务器可以通过mitmproxy将请求/响应作为另一个请求/响应的HTTP消息体的一部分走私。虽然mitmproxy只会看到一个请求,但目标服务器会看到多个请求。走私的请求仍会作为另一个请求正文的一部分被捕获,但它不会出现在请求列表中,也不会通过通常的mitmproxy事件挂钩,用户可能已经实施了自定义访问控制检查或输入清理。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
mitmproxy <=7.0.4
三、修复建议
目前此漏洞已经修复,受影响用户可以升级更新到mitmproxy 8.0.0 或更高版本。
下载链接:https://github.com/mitmproxy/mitmproxy/releases/tag/v8.0.0
Designed by