Play-WS 傳送 HTTP CONNECT 包括授權標頭至目標主機

CVE-ID

CVE-2019-17598

日期

2019 年 11 月 4 日

說明

當 WSClient 已設定為使用經過驗證的代理伺服器，同時發出 HTTPS 外部請求時，我們會看到 HTTP CONNECT 請求從 WSClient 傳送至目標主機。

影響

當應用程式使用 Play-WS 和經過驗證的代理伺服器時，如果使用基本驗證來驗證代理伺服器，則有可能讀取使用者名稱和密碼，因為它們僅在授權標頭中以 base64 編碼。

受影響版本

• Play 2.6.0-2.6.23
• Play 2.5.x（所有版本）

修正

此問題已在 Play 2.6.24 中修正。它不會影響 Play 2.7.x。由於此版本已達到支援終止，因此不會有包含此修正的 2.5.x 版本。

CVSS 指標 (更多資訊)

整體：3.4
AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N/E:P/RL:O/RC:C

致謝

發現此漏洞的功勞歸功於 hmrc.gov.uk 的 Sunny Chotai。