PT-2020-5068 · Node.Js+6 · Node.Js+6
Publicado
2020-09-16
·
Atualizado
2026-05-18
·
CVE-2020-8201
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Node.js anteriores à 12.18.4
Versões do Node.js anteriores à 14.11
Descrição
O problema está relacionado a um erro no processamento dos nomes dos cabeçalhos HTTP, o que pode ser explorado por um invasor remoto para obter acesso a informações protegidas ou elevar privilégios. Isso pode levar a ataques de dessincronização HTTP, permitindo que cargas maliciosas sejam entregues aos usuários. Essas cargas podem ser criadas para sequestrar sessões de usuários, corromper cookies ou realizar clickjacking, entre outros ataques, dependendo da arquitetura do sistema. O ataque é possível devido a um bug no processamento de símbolos de retorno de caráter nos nomes de cabeçalhos HTTP.
Recomendações
Para versões do Node.js anteriores à 12.18.4, atualize para a versão 12.18.4 ou posterior para resolver o problema.
Para versões do Node.js anteriores à 14.11, atualize para a versão 14.11 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a informações confidenciais e implementar medidas de segurança adicionais para minimizar o risco de sequestro de sessão e outros ataques.
Correção
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Node.Js
Red Hat
Rocky Linux
Suse