← volver
CVE-2019-15606

CVE-2019-15606

EPSS 20.0%CWE-20
En resumen

Node.js versiones 10, 12 y 13 permiten que atacantes eludan controles de seguridad al agregar espacios extras al final de encabezados HTTP. Si un servidor verifica valores de encabezado para autorizar solicitudes, un atacante puede añadir espacios al final para engañar la verificación.

Detalle técnico

Los valores de encabezados HTTP que contienen espacios en blanco finales no se normalizan adecuadamente en Node.js 10, 12 y 13, permitiendo que atacantes eludan mecanismos de autorización que dependen de comparación exacta de valores. El vector de ataque involucra solicitudes HTTP con encabezados rellenados con espacios en blanco; el impacto incluye elusión de controles de acceso basados en validación de encabezados.

Resumen generado y traducido por IA a partir de la descripción oficial.
Including trailing white space in HTTP header values in Nodejs 10, 12, and 13 causes bypass of authorization based on header value comparisons
Productos afectados
NodeJS · Node

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00008.htmlhttps://access.redhat.com/errata/RHSA-2020:0573https://access.redhat.com/errata/RHSA-2020:0579https://access.redhat.com/errata/RHSA-2020:0597https://access.redhat.com/errata/RHSA-2020:0598https://access.redhat.com/errata/RHSA-2020:0602https://hackerone.com/reports/730779https://nodejs.org/en/blog/release/v10.19.0/https://nodejs.org/en/blog/release/v12.15.0/https://nodejs.org/en/blog/release/v13.8.0/https://nodejs.org/en/blog/vulnerability/february-2020-security-releases/https://security.gentoo.org/glsa/202003-48