← voltar
CVE-2022-24999

CVE-2022-24999

CVSS 7.5 HIGHEPSS 14.7%CWE-1321
Em resumo

Uma falha na biblioteca qs permite que atacantes façam aplicações Node.js travar enviando consultas especialmente preparadas que exploram a propriedade __proto__. Um atacante não autenticado pode ativar isso remotamente por meio de uma simples string de consulta de URL, deixando o servidor sem responder.

Detalhe técnico

O parser de consultas qs falha em sanitizar adequadamente chaves __proto__ durante a mesclagem de objetos, permitindo poluição de protótipo que causa alocação excessiva de memória e consumo de CPU. Um atacante remoto não autenticado pode criar uma requisição GET com atribuições aninhadas de __proto__ e valores de tamanho grandes para induzir negação de serviço em aplicações Express.

Resumo gerado e traduzido por IA a partir da descrição oficial.
qs before 6.10.3, as used in Express before 4.17.3 and other products, allows attackers to cause a Node process hang for an Express application because an __ proto__ key can be used. In many typical Express use cases, an unauthenticated remote attacker can place the attack payload in the query string of the URL that is used to visit the application, such as a[__proto__]=b&a[__proto__]&a[length]=100000000. The fix was backported to qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3, and 6.2.4 (and therefore Express 4.17.3, which has "deps: qs@6.9.7" in its release description, is not vulnerable).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/expressjs/express/releases/tag/4.17.3https://github.com/ljharb/qs/pull/428https://github.com/n8tz/CVE-2022-24999https://lists.debian.org/debian-lts-announce/2023/01/msg00039.htmlhttps://security.netapp.com/advisory/ntap-20230908-0005/