一、漏洞详情

mitmproxy是一个交互式的、支持SSL/TLS的拦截代理，带有HTTP/1、HTTP/2和WebSockets的控制台界面。mitmproxy项目发布公告，修复了mitmproxy中的一个HTTP请求走私漏洞（CVE-2022-24766）。

在 mitmproxy 7.0.4 及之前的版本中，由于对HTTP请求走私的保护不足，恶意客户端或服务器能够通过mitmproxy执行HTTP请求走私攻击。这意味着恶意客户端/服务器可以通过mitmproxy将请求/响应作为另一个请求/响应的HTTP消息体的一部分走私。虽然mitmproxy只会看到一个请求，但目标服务器会看到多个请求。走私的请求仍会作为另一个请求正文的一部分被捕获，但它不会出现在请求列表中，也不会通过通常的mitmproxy事件挂钩，用户可能已经实施了自定义访问控制检查或输入清理。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

mitmproxy <=7.0.4

三、修复建议

目前此漏洞已经修复，受影响用户可以升级更新到mitmproxy 8.0.0 或更高版本。

下载链接：https://github.com/mitmproxy/mitmproxy/releases/tag/v8.0.0