CVE-2021-44532
Node.js tenía una falla de seguridad donde caracteres especiales en nombres de certificados podrían usarse para eludir controles de seguridad que limitan qué sitios web pueden usar un certificado. Esto podría permitir que atacantes usen un certificado de formas no autorizadas.
Versiones de Node.js anteriores a 12.22.9, 14.18.3, 16.13.2 y 17.3.1 no escapaban adecuadamente los Subject Alternative Names (SANs) al convertirlos a cadenas para validación de nombres, permitiendo ataques de inyección que eluden restricciones de nombre en cadenas de certificados. La vulnerabilidad afecta la verificación de certificados peer en TLS/SSL y fue corregida escapando caracteres problemáticos en los SANs.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →