🚨CVE info : 🚨
🛠️ Produit concerné : ESPAsyncWebServer
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🟠 8.7 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : EspasyncWebserver est une bibliothèque Asynchrones HTTP et WebSocket Server pour ESP32, ESP8266, RP2040 et RP2350. Dans les versions jusqu'à 3,7,8, une vulnérabilité d'injection CRLF (transport de ligne de retour) existe dans la construction et la sortie des en-têtes HTTP dans asyncwebheader.cpp. L'entrée non animée permet aux attaquants d'injecter des caractères CR (\ r) ou LF (\ n) en noms ou valeurs d'en-tête, conduisant à une manipulation arbitraire d'en-tête ou de réponse. La manipulation des en-têtes HTTP et des réponses peuvent
🔥 Risques : Injections CRLF permettant la manipulation des en-têtes HTTP
💡 Opportunités : Exécution de requêtes non autorisées ou redirections malveillantes possibles
🔧 Patch : oui lien
🧨 Exploit : Exploit public
📚 Références :