Play-WS 发送包含授权头部的 HTTP CONNECT 到目标主机

CVE-ID

CVE-2019-17598

日期

2019 年 11 月 4 日

描述

当 WSClient 被配置为使用经过身份验证的代理服务器时，在进行出站 HTTPS 请求时，我们会看到 WSClient 向目标主机发送 HTTP CONNECT 请求。

影响

当应用程序使用 Play-WS 和经过身份验证的代理时，如果使用基本身份验证来验证代理服务器，则可能读取用户名和密码，因为它们只是在 Authorization 标头中进行 base64 编码。

受影响的版本

• Play 2.6.0-2.6.23
• Play 2.5.x（所有版本）

修复

此问题已在 Play 2.6.24 中修复。它不影响 Play 2.7.x。由于此版本已达到生命周期结束，因此不会发布包含此修复程序的 2.5.x 版本。

CVSS 指标 (更多信息)

总体：3.4
AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N/E:P/RL:O/RC:C

致谢

感谢 hmrc.gov.uk 的 Sunny Chotai 发现此漏洞。