CVE-2019-15606
CVE-2019-15606
Em resumo
Node.js versões 10, 12 e 13 permitem que atacantes contornem verificações de segurança ao adicionar espaços extras no final de cabeçalhos HTTP. Se um servidor verifica valores de cabeçalho para autorizar requisições, um atacante pode adicionar espaços no final para enganar a verificação.
Detalhe técnico
Valores de cabeçalhos HTTP contendo espaços em branco finais não são adequadamente normalizados no Node.js 10, 12 e 13, permitindo que atacantes contornem mecanismos de autorização que dependem de comparação exata de valores. O vetor de ataque envolve requisições HTTP com cabeçalhos preenchidos com espaços; o impacto inclui contorno de controles de acesso baseados em validação de cabeçalho.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Including trailing white space in HTTP header values in Nodejs 10, 12, and 13 causes bypass of authorization based on header value comparisons
Produtos afetados
NodeJS · NodeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00008.htmlhttps://access.redhat.com/errata/RHSA-2020:0573https://access.redhat.com/errata/RHSA-2020:0579https://access.redhat.com/errata/RHSA-2020:0597https://access.redhat.com/errata/RHSA-2020:0598https://access.redhat.com/errata/RHSA-2020:0602https://hackerone.com/reports/730779https://nodejs.org/en/blog/release/v10.19.0/https://nodejs.org/en/blog/release/v12.15.0/https://nodejs.org/en/blog/release/v13.8.0/https://nodejs.org/en/blog/vulnerability/february-2020-security-releases/https://security.gentoo.org/glsa/202003-48