Vulnerabilidades CVE de Undici de Nodejs
Undici es un cliente HTTP/1.1 para Node.js
16 de febrero del 2023
- CVE-2023-23936 : A partir de la versión 2.0.0 y antes de la versión 5.19.1, la biblioteca undici no protege el encabezado HTTP `host` de las vulnerabilidades de inyección de CRLF. Este problema está parcheado en Undici v5.19.1. Como solución, desinfecte la cadena `headers.host` antes de pasar a undici.
- CVE-2023-24807 : Antes de la versión 5.19.1, los métodos `Headers.set()` y `Headers.append()` eran vulnerables a ataques de denegación de servicio de expresiones regulares (ReDoS) cuando se pasan valores no confiables a las funciones. Esto se debe a la expresión regular ineficiente utilizada para normalizar los valores en la función de utilidad `headerValueNormalize()`. Esta vulnerabilidad fue parcheada en v5.19.1. No hay soluciones alternativas conocidas disponibles.
Sitios de referencia
- CVE-2023-23936
https://github.com/nodejs/undici/releases/tag/v5.19.1 - CVE-2023-24807
https://hackerone.com/bugs?report_id=1784449
Otras paginas de vulnerabilidades CVE
- Niterforum
- wndr3700v2
- Virtualsquare Picotcp
- Baijiacms
- Nitinparashar30 cms corephp
- Seo Panel
- Dataease
- Ampere altramax y ampere altra
- Gmalloc
- RSA ClientKeyExchange
- XBC DN32U
- Jenkins junit plugin
- Jenkins email extension plugin
- Jenkins azure credentials plugin
- Phpcrazy
- Kiwi
- Ami Megarac SPX
- Starlite
- Microsoft exchange server 2019 cumulative update 12
- Microsoft exchange server 2016 cumulative update 23
- Microsoft sharepoint enterprise server 2016
- Microsoft SQL Server
- Microsoft Onenote
- Microsoft net framework 4.8
- Azure Stack
- Suse linux enterprise server 12
- Apache Shenyu
- Foundry Magritte
- SLS Logging
- Eternal Terminal
- Apoc
- Flatcore CMS
- Ricoh mp c4504ex
- Unmanaged switch 852 111000 001
- Sequelize.js
- Containerd
- Qaelum Dose
- NSRW
- PHP
- Server application monitor sam
- Priority for windows
- Priority web
- Libpeconv
- DVR
- Media control panel
- Solarwinds platform
- Synopsys jenkins coverity plugin
- Prosafe 24 port 10100 fs726tp
- Butterfly button plugin
- Asus ec tool
- Discuzx
- Screencheck badgemaker
- Kardex mlog mcc
- kevinpapst kimai2
- Kliqqi cms
- Uqcms
- Rttys
- Ehoney
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-20. Fecha publicación el 2023-02-20. Autor: Oscar olg Mapa del sitio Fuente: cve report