CRITICAL🇬🇧 English

CVE-2025-1867

HTTP Request/Response Smuggling w bibliotece libhv (do wersji 1.3.3)

CVSS 10.0v4.0pub. 2025-03-03upd. 2026-04-15

Biblioteka libhv w wersjach do 1.3.3 zawiera podatność klasy HTTP Request/Response Smuggling (CWE-444), umożliwiającą manipulację interpretacją żądań i odpowiedzi HTTP. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling') vulnerability in ithewei libhv allows HTTP Response Smuggling.This issue affects libhv: through 1.3.3.

🤖 Analiza AI
Jak działa

Podatność wynika z niespójnej interpretacji żądań HTTP przez bibliotekę libhv — zjawisko znane jako HTTP Request/Response Smuggling. Atakujący może spreparować specjalnie skonstruowane żądanie HTTP, które zostanie odmiennie zinterpretowane przez serwer frontendowy i backendowy (lub przez różne komponenty przetwarzające ruch). Rozbieżność w interpretacji pozwala na przemycenie dodatkowych żądań lub odpowiedzi HTTP, które nie są widoczne dla mechanizmów bezpieczeństwa pośredniczących. Nie wymaga to uwierzytelnienia ani interakcji użytkownika, a atak jest możliwy zdalnie przez sieć.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych innych użytkowników, ominąć mechanizmy kontroli dostępu, zatruwać cache proxy, a w konsekwencji prowadzić dalsze ataki na infrastrukturę — w tym przejąć kontrolę nad sesją lub doprowadzić do wycieku poufnych informacji. Wpływ dotyczy zarówno poufności, integralności, jak i dostępności systemu oraz powiązanych komponentów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (pull request #689 w repozytorium GitHub ithewei/libhv). Zaleca się aktualizację biblioteki libhv do wersji nowszej niż 1.3.3 niezwłocznie po jej wydaniu oraz monitorowanie oficjalnego repozytorium projektu w celu potwierdzenia dostępności poprawki.

Kogo dotyczy

Biblioteka libhv we wszystkich wersjach do 1.3.3 włącznie.

Uwagi

Poprawka została zgłoszona jako pull request #689 w repozytorium GitHub projektu libhv (https://github.com/ithewei/libhv/pull/689). Podatność nie figuruje w katalogu CISA KEV.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-1867 — HTTP Request/Response Smuggling w bibliotece libhv (do wersji 1.3.3) — CRITICAL 10.0 | CVEbaza.pl