CRITICAL🇬🇧 English

CVE-2024-10264

HTTP Request Smuggling w Youdao QAnything umożliwia RCE i nieautoryzowany dostęp

CVSS 9.8v3.1pub. 2025-03-20upd. 2025-08-01

Podatność typu HTTP Request Smuggling (CWE-444) w aplikacji netease-youdao/qanything w wersji 1.4.1 pozwala atakującemu na wykorzystanie rozbieżności w interpretacji żądań HTTP pomiędzy proxy a serwerem. Może to prowadzić do przejęcia sesji, obejścia zabezpieczeń, wycieku danych, a nawet wykonania dowolnego kodu (RCE).

Pokaż oryginał (EN)

HTTP Request Smuggling vulnerability in netease-youdao/qanything version 1.4.1 allows attackers to exploit inconsistencies in the interpretation of HTTP requests between a proxy and a server. This can lead to unauthorized access, bypassing security controls, session hijacking, data leakage, and potentially arbitrary code execution.

🤖 Analiza AI
Jak działa

Podatność polega na tym, że proxy i serwer backendowy inaczej interpretują granice żądań HTTP — zjawisko znane jako HTTP Request Smuggling. Atakujący wysyła spreparowane żądanie HTTP, które proxy traktuje jako jedno żądanie, natomiast serwer docelowy interpretuje jako dwa oddzielne żądania. W ten sposób możliwe jest wstrzyknięcie dodatkowego żądania do strumienia komunikacji, które zostaje przetworzone przez serwer w kontekście innego użytkownika lub z podwyższonymi uprawnieniami.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do zasobów aplikacji, ominąć mechanizmy kontroli bezpieczeństwa, przejąć sesję innego użytkownika, doprowadzić do wycieku wrażliwych danych oraz potencjalnie wykonać dowolny kod na serwerze (RCE).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się weryfikację konfiguracji warstwy proxy pod kątem spójnej obsługi nagłówków Transfer-Encoding i Content-Length oraz ograniczenie ekspozycji aplikacji na publiczny ruch sieciowy do czasu zastosowania łatki.

Kogo dotyczy

netease-youdao/qanything w wersji 1.4.1

Uwagi

Podatność została zgłoszona za pośrednictwem platformy huntr.com (bounty ID: 988247d5-fd60-4d85-845a-e867d62c0d02). Pomimo oceny CVSS 9.8 (CRITICAL) i potencjalnego RCE, podatność nie figuruje w katalogu CISA KEV na dzień publikacji karty.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Youdao Qanything

    APP
    Youdao
    1.4.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-12864HIGH7.5ten sam produkt

A Denial of Service (DoS) vulnerability was discovered in the file upload feature of netease-youdao/qanything ...

CVE-2024-12866HIGH7.5ten sam produkt

A local file inclusion vulnerability exists in netease-youdao/qanything version v2.0.0. This vulnerability all...

CVE-2024-8024HIGH7.5ten sam produkt

A CORS misconfiguration vulnerability exists in netease-youdao/qanything version 1.4.1. This vulnerability all...

CVE-2024-8027MEDIUM6.1ten sam produkt

A stored Cross-Site Scripting (XSS) vulnerability exists in netease-youdao/QAnything. Attackers can upload mal...