The curl URL parser wrongly accepts percent-encoded URL separators like '/'when decoding the host name part of a URL, making it a *different* URL usingthe wrong host name when it is later retrieved.For example, a URL like `http://example.com%2F127.0.0.1/`, would be allowed bythe parser and get transposed into `http://example.com/127.0.0.1/`. This flawcan be used to circumvent filters, checks and more.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:NHaxx Curl
APPHaxx7.80.0 – 7.83.1 (bez)Netapp Clustered Data Ontap
APPNetappwszystkie wersjeNetapp H300s
HWNetappwszystkie wersjeNetapp H300s Firmware
OSNetappwszystkie wersjeNetapp H410s
HWNetappwszystkie wersjeNetapp H410s Firmware
OSNetappwszystkie wersjeNetapp H500s
HWNetappwszystkie wersjeNetapp H500s Firmware
OSNetappwszystkie wersjeNetapp H700s
HWNetappwszystkie wersjeNetapp H700s Firmware
OSNetappwszystkie wersjeNetapp Hci Bootstrap Os
OSNetappwszystkie wersjeNetapp Hci Compute Node
HWNetappwszystkie wersjeNetapp Solidfire\, Enterprise Sds \& Hci Storage Node
APPNetappwszystkie wersjeNetapp Solidfire \& Hci Management Node
APPNetappwszystkie wersjeSplunk Universal Forwarder
APPSplunk9.1.08.2.0 – 8.2.12 (bez)9.0.0 – 9.0.6 (bez)
Related vulnerabilities
AMI MegaRAC SPx — zdalne ominięcie uwierzytelnienia w interfejsie Redfish BMC
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych
A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remot...
XXE w bibliotece libxml2 — obejście niestandardowych handlerów SAX
Apache Tomcat: niekompletna mitygacja TOCTOU Race Condition (CVE-2024-50379)