CVE-2021-22918
CVE-2021-22918
En resumen
Node.js tiene una vulnerabilidad que lee memoria más allá de los límites al convertir nombres de dominio, pudiendo exponer información sensible o causar bloqueos. El problema ocurre durante el procesamiento de ciertos direcciones de red.
Detalle técnico
Una lectura fuera de los límites (out-of-bounds) existe en uv__idna_toascii() donde la aritmética de punteros no valida si está dentro de los límites del búfer, permitiendo acceso no controlado a la memoria vía uv_getaddrinfo(). Esto puede resultar en divulgación de información o denegación de servicio durante la conversión de nombres de dominio IDNA.
Resumen generado y traducido por IA a partir de la descripción oficial.
Node.js before 16.4.1, 14.17.2, 12.22.2 is vulnerable to an out-of-bounds read when uv__idna_toascii() is used to convert strings to ASCII. The pointer p is read and increased without checking whether it is beyond pe, with the latter holding a pointer to the end of the buffer. This can lead to information disclosures or crashes. This function can be triggered via uv_getaddrinfo().
Productos afectados
NodeJS · Node¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →