PT-2018-4718 · Node.Js · Negotiator+2

Publicado

2018-05-31

Atualizado

2019-10-09

CVE-2016-10539

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Name of the Vulnerable Software and Affected Versions negotiator versions 0.6.0 and earlier

Description The negotiator, an HTTP content negotiator for Node.js, is vulnerable to Regular Expression Denial of Service via a specially crafted string in the "Accept-Language" header. This issue affects many modules and frameworks, including Express and Koa. The vulnerability triggers when parsing a specially crafted Accept-Language header value.

Recommendations Update to version 0.6.1 or later.

Correção

RCE

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-400

Identificadores relacionados

AZL-44826

CVE-2016-10539

GHSA-7MC5-CHHP-FMC3

Produtos afetados

Express

Koa

Negotiator

PT-2018-4718 · Node.Js · Negotiator+2

CVE-2016-10539

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 12