Уязвимость CVE-2018-12123: Информация

Описание

Node.js: All versions prior to Node.js 6.15.0, 8.14.0, 10.14.0 and 11.3.0: Hostname spoofing in URL parser for javascript protocol: If a Node.js application is using url.parse() to determine the URL hostname, that hostname can be spoofed by using a mixed case "javascript:" (e.g. "javAscript:") protocol (other protocols are not affected). If security decisions are made about the URL based on the hostname, they may be incorrect.

Важность: MEDIUM (4,3) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

URL: https://nvd.nist.gov/vuln/detail/CVE-2018-12123

Опубликовано: 28 ноября 2018 г.

Изменено: 6 сентября 2022 г.

Идентификатор типа ошибки: CWE-20

Исправленные пакеты

Имя пакета	Ветка	Исправлено в версии	Версия в репозитории	Errata ID	№ Задания	Состояние
node	sisyphus	10.14.1-alt1	20.13.1-alt1	ALT-PU-2018-2749-1	217108	Исправлено
node	p10	10.14.1-alt1	16.19.1-alt1	ALT-PU-2018-2749-1	217108	Исправлено
node	p9	10.14.1-alt1	14.17.2-alt1	ALT-PU-2018-2749-1	217108	Исправлено
node	c10f1	10.14.1-alt1	16.19.1-alt1	ALT-PU-2018-2749-1	217108	Исправлено
node	c9f2	10.14.1-alt1	16.19.1-alt0.c9.1	ALT-PU-2018-2749-1	217108	Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка	Ресурс
https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/	Patch Vendor Advisory
RHSA-2019:1821	Third Party Advisory
GLSA-202003-48	Third Party Advisory

Подверженные конфигурации:
1. Конфигурация 1
  cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
  Start including
  11.0.0
  End excliding
  11.3.0
  cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:*
  Start including
  10.0.0
  End excliding
  10.14.0
  cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:*
  Start including
  8.0.0
  End excliding
  8.14.0
  cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:*
  Start including
  6.0.0
  End excliding
  6.15.0

Версия: v24.5.1

Наверх

Уязвимость CVE-2018-12123: Информация

Описание

Исправленные пакеты

Ссылки на рекомендации, решения и инструменты

Конфигурация 1