Print

V7安全产品是否涉及Drupal Guzzle信息泄露漏洞(CVE-2022-31042、31043)

10小时前 发表

漏洞相关信息

CVE-2022-31042、31043
Drupal Guzzle信息泄露漏洞
防火墙、IPS、LB等V7安全产品

漏洞描述

CVE-2022-31042:

Guzzle中存在信息泄露漏洞,当使用https协议向服务器发起请求,服务器使用http协议重定向到某个URI进行响应,或重定向到另一个主机的URI进行响应时,在这个过程中任何手动添加到初始请求的“COOKIE”头不会被删除,会进行转发。

CVE-2022-31043:

Guzzle 6.5.6及之前版本、7.0.0 到 7.4.3 版本中存在信息泄露漏洞,当使用https协议向服务器发出请求,服务器重定向到http协议的URI进行响应时,从https到http的降级过程中不会删除 Authorization标头,Authorization 标头也会被转发。

漏洞解决方案

V7安全产品没有使用Drupal,因此不涉及该漏洞。