← volver
CVE-2022-24999

CVE-2022-24999

CVSS 7.5 HIGHEPSS 14.7%CWE-1321
En resumen

Una falla en la biblioteca qs permite que atacantes cuelguen aplicaciones Node.js enviando consultas especialmente diseñadas que explotan la propiedad __proto__. Un atacante no autenticado puede activar esto remotamente a través de una simple cadena de consulta de URL, dejando el servidor sin responder.

Detalle técnico

El analizador de consultas qs falla en sanitizar adecuadamente las claves __proto__ durante la fusión de objetos, permitiendo contaminación de prototipos que causa asignación excesiva de memoria y consumo de CPU. Un atacante remoto no autenticado puede crear una solicitud GET con asignaciones anidadas de __proto__ y valores de tamaño grandes para inducir denegación de servicio en aplicaciones Express.

Resumen generado y traducido por IA a partir de la descripción oficial.
qs before 6.10.3, as used in Express before 4.17.3 and other products, allows attackers to cause a Node process hang for an Express application because an __ proto__ key can be used. In many typical Express use cases, an unauthenticated remote attacker can place the attack payload in the query string of the URL that is used to visit the application, such as a[__proto__]=b&a[__proto__]&a[length]=100000000. The fix was backported to qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3, and 6.2.4 (and therefore Express 4.17.3, which has "deps: qs@6.9.7" in its release description, is not vulnerable).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/expressjs/express/releases/tag/4.17.3https://github.com/ljharb/qs/pull/428https://github.com/n8tz/CVE-2022-24999https://lists.debian.org/debian-lts-announce/2023/01/msg00039.htmlhttps://security.netapp.com/advisory/ntap-20230908-0005/