CVE-2019-15605
CVE-2019-15605
En resumen
Node.js versiones 10, 12 y 13 tienen un defecto en cómo procesan ciertos encabezados HTTP, permitiendo que un atacante eludir controles de seguridad enviando una solicitud especialmente crafted. Esto puede llevar a la entrega de contenido malicioso a los usuarios.
Detalle técnico
Vulnerabilidad de HTTP request smuggling en Node.js 10, 12 y 13 explota el procesamiento inadecuado de encabezados transfer-encoding malformados, permitiendo que un atacante inyecte solicitudes HTTP adicionales procesadas por servidores o proxies descendentes. El vector de ataque implica solicitudes HTTP crafted; el impacto incluye envenenamiento de caché, secuestro de sesión o entrega de contenido malicioso.
Resumen generado y traducido por IA a partir de la descripción oficial.
HTTP request smuggling in Node.js 10, 12, and 13 causes malicious payload delivery when transfer-encoding is malformed
Productos afectados
NodeJS · Node¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00008.htmlhttps://access.redhat.com/errata/RHSA-2020:0573https://access.redhat.com/errata/RHSA-2020:0579https://access.redhat.com/errata/RHSA-2020:0597https://access.redhat.com/errata/RHSA-2020:0598https://access.redhat.com/errata/RHSA-2020:0602https://access.redhat.com/errata/RHSA-2020:0703https://access.redhat.com/errata/RHSA-2020:0707https://access.redhat.com/errata/RHSA-2020:0708https://hackerone.com/reports/735748https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CT3WTR4P5VAJ3GJGKPYEDUPTNZ3IEDUR/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZLB676PDU4RJQLWQUA277YNGYYNEYGWO/