F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)

威胁等级
严重
漏洞分类
远程命令执行
影响资产分类
应用服务
检索条件
游客用户没有权限查看,请登录
DVB
DVB-2023-5391
CVE
CVE-2023-46747
CNVD
-
CNNVD
-

漏洞描述

2.4.6的漏洞版本,导致在特定条件下可以绕过正常的请求处理流程。 由于 Apache httpd 在将请求转发到后端 AJP 服务器之前移除了 "Content-Length" 头,攻击者可以通过发送带有特定 "Content-Length" 和 "Transfer-Encoding" 头的请求,来控制后端服务器的请求处理流程。 看似影响较小的请求走私漏洞,在两个不同服务将认证责任相互转嫁时,可能会成为一个严重的问题。发送“前端”认为已经处理过认证的请求到“后端”服务,会导致出现一些出乎意料的后果。而这种不一致是导致此次漏洞产生的重要成因之一。

漏洞详情

游客用户没有权限查看,请登录

修复建议

请关注厂商的修复版本,并及时更新到最新版本.