Error CVE en Node

vulnerabilidad

Las versiones de Node.js anteriores a 10.23.1, 12.20.1, 14.15.4, 15.5.1 permiten dos copias de un campo de encabezado en una solicitud HTTP (por ejemplo, dos campos de encabezado Transfer-Encoding).

En este caso, Node.js identifica el primer campo de encabezado e ignora el segundo. Esto puede llevar a contrabando de solicitudes HTTP.

Existe un posible contrabando de solicitudes HTTP en nodejs. El atacante puede utilizar dos campos del mismo encabezado para realizar un ataque de contrabando de solicitudes HTTP TE-TE.

Descripción: nodejs permite el mismo campo de encabezado en una solicitud http. por ejemplo, podemos enviar dos Transfer-Encodingcampos de encabezado, incluso si uno de ellos es un campo de encabezado falso. Pero nodejs solo identifica el primer campo de encabezado e ignora el siguiente. Esto conduce a un posible contrabando de solicitudes HTTP.

Las versiones afectadas de Node.js permiten dos copias de un campo de encabezado en una solicitud http. Por ejemplo, dos campos de encabezado Transfer-Encoding. En este caso, Node.js identifica el primer campo de encabezado e ignora el segundo. Esto puede llevar al contrabando de solicitudes HTTP ( https://cwe.mitre.org/data/definitions/444.html ).

Impacto: Todas las versiones de las líneas de lanzamientos 15.x, 14.x, 12.xy 10.x. Gracias a niubl, que trabaja en TSRC (Tencent Security Response Center) por informar de esta vulnerabilidad.

Referencias:

https://hackerone.com/reports/1002188

https://nodejs.org/en/blog/vulnerability/january-2021-security-releases/

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Fecha actualización el 2021-01-08. Fecha publicación el 2021-01-08. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST