Nginx 云存储 HTTP 拆分

语言：

Nginx 云存储 HTTP 拆分

扫描程序已检测到 Nginx 配置具有指定的指令位置，可用于查询云存储实例。然而，其可插入包含换行符的任意负载，进而允许恶意攻击者变更要查询的云存储实例。

因此，攻击者可从其控制的云存储中注入任意内容。

开发人员应避免评估直接源于不受信任的用户输入的表达式，以防止恶意注入。如果应用程序仍需此类输入，则应严格验证用户提供的数据，通过使用白名单或过滤特殊字符的方法来避免高级表达式注入。

严重性: Medium

ID: 113642

类型: remote

系列: Component Vulnerability

发布时间: 2023/3/8

最近更新时间: 2023/3/8

扫描模板: api, basic, full, pci, scan

风险因素: Low

分数: 1.4

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 分数来源: Tenable

风险因素: Medium

基本分数: 5.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

CVSS 分数来源: Tenable

CPE: cpe:2.3:a:nginx:nginx:*:*:*:*:*:*:*:*

CWE: 16

OWASP: 2010-A6, 2013-A5, 2013-A9, 2017-A6, 2017-A9, 2021-A5, 2021-A6

WASC: Application Misconfiguration

DISA STIG: APSC-DV-002630

HIPAA: 164.306(a)(1), 164.306(a)(2)

ISO: 27001-A.14.2.5

NIST: sp800_53-CM-6b

OWASP API: 2019-API7, 2023-API8

OWASP ASVS: 4.0.2-14.2.1

PCI-DSS: 3.2-6.2