CVE-2022-32214

EPSS 77.3%CWE-444

Em resumo

O analisador HTTP do Node.js aceita requisições que não seguem o padrão correto de quebra de linha, permitindo que atacantes injetem requisições maliciosas disfarçadas em tráfego legítimo.

Detalhe técnico

O parser llhttp no módulo http do Node.js não valida estritamente os delimitadores CRLF nas bordas das requisições HTTP, viabilizando ataques de HTTP Request Smuggling onde um invasor envia requisições malformadas interpretadas diferentemente por proxies front-end e back-end, potencialmente contornando controles de segurança.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not strictly use the CRLF sequence to delimit HTTP requests. This can lead to HTTP Request Smuggling (HRS).

Produtos afetados

NodeJS · Node

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://hackerone.com/reports/1524692 https://nodejs.org/en/blog/vulnerability/july-2022-security-releases/https://www.debian.org/security/2023/dsa-5326