Уязвимость CVE-2023-23936: Информация
Описание
Undici is an HTTP/1.1 client for Node.js. Starting with version 2.0.0 and prior to version 5.19.1, the undici library does not protect `host` HTTP header from CRLF injection vulnerabilities. This issue is patched in Undici v5.19.1. As a workaround, sanitize the `headers.host` string before passing to undici.
Важность: MEDIUM (5,4) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Исправленные пакеты
Имя пакета | Ветка | Исправлено в версии | Версия в репозитории | Errata ID | № Задания | Состояние |
---|---|---|---|---|---|---|
node | sisyphus | 16.19.1-alt1 | 20.12.2-alt1 | ALT-PU-2023-1431-1 | 316726 | Исправлено |
node | sisyphus_riscv64 | 16.19.1-alt1 | 20.12.1-alt1 | ALT-PU-2023-2863-1 | - | Исправлено |
node | p10 | 16.19.1-alt1 | 16.19.1-alt1 | ALT-PU-2023-1496-1 | 316988 | Исправлено |
node | c10f1 | 16.19.1-alt1 | 16.19.1-alt1 | ALT-PU-2023-1496-1 | 316988 | Исправлено |
node | c9f2 | 16.19.1-alt0.c9.1 | 16.19.1-alt0.c9.1 | ALT-PU-2023-1494-1 | 316989 | Исправлено |
Ссылки на рекомендации, решения и инструменты
Ссылка | Ресурс |
---|---|
https://github.com/nodejs/undici/releases/tag/v5.19.1 |
|
https://github.com/nodejs/undici/commit/a2eff05401358f6595138df963837c24348f2034 |
|
https://github.com/nodejs/undici/security/advisories/GHSA-5r9g-qh6m-jxff |
|
https://hackerone.com/reports/1820955 |
|