CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-60876

MediumCVSS 6.5
Published: Updated: Translated: NVD NIST

Summary

BusyBox wget w wersji do 1.3.7 akceptował surowe znaki CR (0x0D)/LF (0x0A) oraz inne bajty kontrolne C0 w celu żądania HTTP, co pozwalało na podział linii żądania i wstrzykiwanie nagłówków kontrolowanych przez atakującego. Aby zachować poprawny format linii żądania HTTP/1.1, surowa spacja (0x20) w żądaniu musi być również odrzucona.

Risk Assessment

Podatność ta może prowadzić do wstrzykiwania złośliwych nagłówków w żądania HTTP, co stwarza ryzyko przejęcia kontroli nad komunikacją oraz potencjalnych ataków na aplikacje webowe. Organizacje powinny być świadome możliwości manipulacji danymi przesyłanymi przez ich serwery.

Recommendation

Zaleca się aktualizację BusyBox do najnowszej wersji, która eliminuje tę podatność oraz wdrożenie filtrów, które odrzucają nieprawidłowe znaki w żądaniach HTTP.

Original NVD description (English source)

BusyBox wget thru 1.3.7 accepted raw CR (0x0D)/LF (0x0A) and other C0 control bytes in the HTTP request-target (path/query), allowing the request line to be split and attacker-controlled headers to be injected. To preserve the HTTP/1.1 request-line shape METHOD SP request-target SP HTTP/1.1, a raw space (0x20) in the request-target must also be rejected (clients should use %20).

Vulnerability data from NVD (NIST) · CISA KEV · EPSS