CVE-2024-45590

body-parser vulnerable to denial of service when url encoding is enabled

CVSS 7.5 HIGHEPSS 0.8%CWE-405

Em resumo

body-parser, uma biblioteca Node.js que processa dados de requisições, pode ser explorada para derrubar ou lentificar um servidor quando a codificação URL está ativada. Um atacante pode enviar requisições especialmente preparadas que consumem recursos excessivos do servidor, tornando o serviço indisponível para usuários legítimos.

Detalhe técnico

Versões do body-parser anteriores à 1.20.3 são vulneráveis a negação de serviço através de payloads maliciosos em URL encoding. A vulnerabilidade é disparada quando o parser de codificação URL processa entrada especialmente crafted, consumindo recursos excessivos de CPU ou memória. Atacantes podem explorar isso enviando múltiplas requisições crafted sem autenticação, causando degradação ou indisponibilidade do serviço.

Resumo gerado e traduzido por IA a partir da descrição oficial.

body-parser is Node.js body parsing middleware. body-parser <1.20.3 is vulnerable to denial of service when url encoding is enabled. A malicious actor using a specially crafted payload could flood the server with a large number of requests, resulting in denial of service. This issue is patched in 1.20.3.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Produtos afetados

expressjs · body-parser

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/expressjs/body-parser/commit/b2695c4450f06ba3b0ccf48d872a229bb41c9bce https://github.com/expressjs/body-parser/security/advisories/GHSA-qwcr-r2fm-qrc7