← volver
CVE-2021-22939

CVE-2021-22939

EPSS 14.7%CWE-295
En resumen

Node.js no validó correctamente una configuración HTTPS usada de forma incorrecta, permitiendo conexiones con servidores que poseen certificados SSL expirados cuando el parámetro rejectUnauthorized era undefined. Esto representa un riesgo de seguridad porque los certificados expirados deben rechazarse para evitar ataques de intermediario.

Detalle técnico

Cuando el parámetro rejectUnauthorized en la API https de Node.js se configuraba como undefined en lugar de un valor booleano explícito, la validación de certificado se deshabilitaba silenciosamente. Un atacante controlando un servidor con certificado expirado podría interceptar conexiones HTTPS si la aplicación dependía de esta configuración incorrecta, ya que el error de validación no se lanzaba y la conexión era aceptada.

Resumen generado y traducido por IA a partir de la descripción oficial.
If the Node.js https API was used incorrectly and "undefined" was in passed for the "rejectUnauthorized" parameter, no error was returned and connections to servers with an expired certificate would have been accepted.
Productos afectados
NodeJS · Node

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdfhttps://hackerone.com/reports/1278254https://lists.debian.org/debian-lts-announce/2022/10/msg00006.htmlhttps://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/https://security.gentoo.org/glsa/202401-02https://security.netapp.com/advisory/ntap-20210917-0003/https://www.oracle.com/security-alerts/cpujan2022.htmlhttps://www.oracle.com/security-alerts/cpujul2022.htmlhttps://www.oracle.com/security-alerts/cpuoct2021.html