CVE-2022-32214

EPSS 77.3%CWE-444

En resumen

El analizador HTTP de Node.js acepta solicitudes que no siguen el estándar correcto de salto de línea, permitiendo que atacantes inyecten solicitudes maliciosas disfrazadas en tráfico legítimo.

Detalle técnico

El parser llhttp en el módulo http de Node.js no valida estrictamente los delimitadores CRLF en los límites de las solicitudes HTTP, habilitando ataques de HTTP Request Smuggling donde un atacante envía solicitudes malformadas interpretadas diferentemente por proxies front-end y back-end, potencialmente eludiendo controles de seguridad.

Resumen generado y traducido por IA a partir de la descripción oficial.

The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not strictly use the CRLF sequence to delimit HTTP requests. This can lead to HTTP Request Smuggling (HRS).

Productos afectados

NodeJS · Node

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://hackerone.com/reports/1524692 https://nodejs.org/en/blog/vulnerability/july-2022-security-releases/https://www.debian.org/security/2023/dsa-5326