CVE-2024-45590

body-parser vulnerable to denial of service when url encoding is enabled

CVSS 7.5 HIGHEPSS 0.8%CWE-405

En resumen

body-parser, una biblioteca Node.js que procesa datos de solicitudes entrantes, puede ser explotada para bloquear o ralentizar un servidor cuando la codificación de URL está habilitada. Un atacante puede enviar solicitudes especialmente diseñadas que consumen recursos excesivos del servidor, haciendo que el servicio no esté disponible para usuarios legítimos.

Detalle técnico

Las versiones de body-parser anteriores a 1.20.3 son vulnerables a denegación de servicio mediante payloads maliciosos en URL encoding. La vulnerabilidad se activa cuando el analizador de codificación de URL procesa entrada especialmente diseñada, consumiendo recursos excesivos de CPU o memoria. Los atacantes pueden explotar esto enviando múltiples solicitudes especialmente diseñadas sin autenticación, causando degradación o indisponibilidad del servicio.

Resumen generado y traducido por IA a partir de la descripción oficial.

body-parser is Node.js body parsing middleware. body-parser <1.20.3 is vulnerable to denial of service when url encoding is enabled. A malicious actor using a specially crafted payload could flood the server with a large number of requests, resulting in denial of service. This issue is patched in 1.20.3.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Productos afectados

expressjs · body-parser

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/expressjs/body-parser/commit/b2695c4450f06ba3b0ccf48d872a229bb41c9bce https://github.com/expressjs/body-parser/security/advisories/GHSA-qwcr-r2fm-qrc7