🚨CVE info : 🚨
🛠️ Produit concerné : arduino-esp32
📆 Date de publication : 2025-06-26
🎯 Score CVSS v3.1 : 🟠 8.9 (HIGH)
🧪 Vecteur CVSS : accès réseau.
📄 Description : Arduino-ESP32 fournit un noyau Arduino pour l'ESP32. Les versions antérieures à 3.3.0-RC1 et 3.2.1 contiennent une vulnérabilité de division de réponse HTTP. La fonction «SendHeader» prend une entrée arbitraire pour le nom et la valeur de l'en-tête HTTP, les concaténe dans une ligne d'en-tête HTTP et l'ajoute aux en-têtes de réponse HTTP sortants. Il n'y a pas de validation ou de désinfection des paramètres «Name» ou «Value» avant d'être inclus dans la réponse HTTP. Si un attaquant peut contrôler l'entrée à `Sendheader»
🔥 Risques : vulnérabilité HTTP Response Splitting pouvant mener à l'injection de contenu malveillant
💡 Opportunités : manipulation des réponses HTTP pour le détournement ou le phishing
🔧 Patch : oui/lien non fourni
🧨 Exploit : Exploit public
📚 Références :