Уязвимость CVE-2023-23936: Информация

Описание

Undici is an HTTP/1.1 client for Node.js. Starting with version 2.0.0 and prior to version 5.19.1, the undici library does not protect `host` HTTP header from CRLF injection vulnerabilities. This issue is patched in Undici v5.19.1. As a workaround, sanitize the `headers.host` string before passing to undici.

Важность: MEDIUM (5,4) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

URL: https://nvd.nist.gov/vuln/detail/CVE-2023-23936
Опубликовано: 16 февраля 2023 г.
Изменено: 24 февраля 2023 г.
Идентификатор типа ошибки: CWE-74

Исправленные пакеты

Имя пакета
Ветка
Исправлено в версии
Версия в репозитории
Errata ID
№ Задания
Состояние
nodesisyphus16.19.1-alt120.12.2-alt1ALT-PU-2023-1431-1316726Исправлено
nodesisyphus_riscv6416.19.1-alt120.12.1-alt1ALT-PU-2023-2863-1-Исправлено
nodep1016.19.1-alt116.19.1-alt1ALT-PU-2023-1496-1316988Исправлено
nodec10f116.19.1-alt116.19.1-alt1ALT-PU-2023-1496-1316988Исправлено
nodec9f216.19.1-alt0.c9.116.19.1-alt0.c9.1ALT-PU-2023-1494-1316989Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка
Ресурс
https://github.com/nodejs/undici/releases/tag/v5.19.1
  • Release Notes
https://github.com/nodejs/undici/commit/a2eff05401358f6595138df963837c24348f2034
  • Patch
https://github.com/nodejs/undici/security/advisories/GHSA-5r9g-qh6m-jxff
  • Vendor Advisory
https://hackerone.com/reports/1820955
  • Exploit
  • Third Party Advisory

    1. Конфигурация 1

      cpe:2.3:a:nodejs:undici:*:*:*:*:*:node.js:*:*
      Start including
      2.0.0
      End excliding
      5.19.1
      cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:*
      Start including
      18.0.0
      End excliding
      18.14.1
      cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:*
      Start including
      16.0.0
      End excliding
      16.19.1
      cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
      Start including
      19.0.0
      End excliding
      19.6.1
VKontakte|Telegram|YouTube|Forum|GitHub|Bugzilla
Версия: v24.4.2
Наверх