CVE-2022-32213
CVE-2022-32213
En resumen
Las versiones de Node.js anteriores a 14.20.1, 16.17.1 y 18.9.1 tienen un defecto en cómo analizan los encabezados Transfer-Encoding, permitiendo que atacantes burlen filtros de seguridad al colar solicitudes maliciosas disfrazadas.
Detalle técnico
El parser llhttp en el módulo http de Node.js no valida correctamente los encabezados Transfer-Encoding, permitiendo ataques de HTTP Request Smuggling. Un atacante puede crear solicitudes especialmente formateadas con valores ambiguos de Transfer-Encoding para eludir filtros de seguridad, potencialmente accediendo a servicios backend no autorizados o envenenando cachés. La vulnerabilidad afecta versiones anteriores a 14.20.1, 16.17.1 y 18.9.1.
Resumen generado y traducido por IA a partir de la descripción oficial.
The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not correctly parse and validate Transfer-Encoding headers and can lead to HTTP Request Smuggling (HRS).
Productos afectados
NodeJS · Node¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://cert-portal.siemens.com/productcert/pdf/ssa-332410.pdfhttps://hackerone.com/reports/1524555https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2ICG6CSIB3GUWH5DUSQEVX53MOJW7LYK/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QCNN3YG2BCLS4ZEKJ3CLSUT6AS7AXTH3/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VMQK5L5SBYD47QQZ67LEMHNQ662GH3OY/https://nodejs.org/en/blog/vulnerability/july-2022-security-releases/https://www.debian.org/security/2023/dsa-5326