fastapi-utils跨站请求伪造漏洞
CSRF
fastapi-utils是一个应用软件。可重用工具为FastAPI
fastapi-utils存在跨站请求伪造漏洞,该漏洞源于FastAPI 0.65.2版本及以下版本在接收浏览器发送的JSON负载的路径操作中使用cookie进行身份验证,容易受到跨站点请求伪造(CSRF)攻击。
Python是Python基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。
Python的aaugustin websockets库在9.1之前存在安全漏洞,该漏洞源于在使用基本认证协议工厂(credentials=…)启用HTTP基本认证时,在服务器上有一个可观察时间差异。攻击者可利用该漏洞可以通过定时攻击猜测密码。
aiohttp 存在对HTTP头部进行脚本语法转义处理不恰当漏洞
对HTTP头部进行脚本语法转义处理不恰当
此软件包的受影响版本容易受到 HTTP 标头注入的影响,因为 aiohttp 只是连接标头而无需任何验证。
此软件包的受影响版本容易受到拒绝服务 (DoS) 的攻击。
评论