CVE-2019-15605
CVE-2019-15605
Em resumo
Node.js versões 10, 12 e 13 têm um defeito em como processam certos cabeçalhos HTTP, permitindo que um atacante contorne verificações de segurança enviando uma requisição especialmente crafted. Isso pode levar à entrega de conteúdo malicioso aos usuários.
Detalhe técnico
Vulnerabilidade de HTTP request smuggling no Node.js 10, 12 e 13 explora o processamento inadequado de cabeçalhos transfer-encoding malformados, permitindo que um atacante injete requisições HTTP adicionais processadas por servidores ou proxies a jusante. O vetor de ataque envolve requisições HTTP crafted; o resultado pode ser envenenamento de cache, sequestro de sessão ou entrega de conteúdo malicioso.
Resumo gerado e traduzido por IA a partir da descrição oficial.
HTTP request smuggling in Node.js 10, 12, and 13 causes malicious payload delivery when transfer-encoding is malformed
Produtos afetados
NodeJS · NodeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00008.htmlhttps://access.redhat.com/errata/RHSA-2020:0573https://access.redhat.com/errata/RHSA-2020:0579https://access.redhat.com/errata/RHSA-2020:0597https://access.redhat.com/errata/RHSA-2020:0598https://access.redhat.com/errata/RHSA-2020:0602https://access.redhat.com/errata/RHSA-2020:0703https://access.redhat.com/errata/RHSA-2020:0707https://access.redhat.com/errata/RHSA-2020:0708https://hackerone.com/reports/735748https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CT3WTR4P5VAJ3GJGKPYEDUPTNZ3IEDUR/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZLB676PDU4RJQLWQUA277YNGYYNEYGWO/