Linux Distros 未修补的漏洞: CVE-2021-32677
high Nessus 插件 ID 223921
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- FastAPI 是使用 Python 3.6+ 基于标准 Python 类型提示构建 API 的 Web 框架。如果 FastAPI 版本低于 0.65.2 ,则在接收浏览器发送的 JSON 负载的路径操作中使用 cookie 进行认证,易受到跨站请求伪造 (CSRF) 攻击。在低于 0.65.2的版本中,即使发送的 content-type 标头未设置为 application/json 或兼容的 JSON 媒体类型(例如 application/geo+json),FastAPI 也会尝试将请求负载读取为 JSON。将接受包含 JSON 数据且内容类型为 text/plain 的请求,并将提取 JSON 数据。内容类型为 text/plain 的请求被视为简单请求,可免于 CORS 预检。浏览器将立即执行它们(包括 cookie),文本内容可能是会被 FastAPI 应用程序解析并接受的 JSON 字符串。此问题已在 FastAPI 中修复 0.65.2。现在仅当 content-type 标头为 application/json 或其他 JSON 兼容的媒体类型(如 application/geo+json)时,请求数据才会解析为 JSON。最好升级到最新的 FastAPI,但如果无法更新,则可以使用中间件或检查 content-type 标头并在请求不是 application/json 或其他 JSON 兼容内容类型的情况下中止请求的依存关系变通方案。 (CVE-2021-32677)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 223921
文件名: unpatched_CVE_2021_32677.nasl
版本: 1.2
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/5
最近更新时间: 2025/8/27
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.2
CVSS v2
风险因素: Medium
基本分数: 5.8
时间分数: 4.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2021-32677
CVSS v3
风险因素: High
基本分数: 8.1
时间分数: 7.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:debian:debian_linux:fastapi, p-cpe:/a:canonical:ubuntu_linux:fastapi
必需的 KB 项: Host/OS/identifier, Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched
易利用性: No known exploits are available
漏洞发布日期: 2021/6/9
参考资料信息
CVE: CVE-2021-32677