PT-2020-6063 · Github+1 · Node-Fetch+1
Rynop
+1
·
Publicado
2020-09-10
·
Atualizado
2021-05-25
·
CVE-2020-15168
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do node-fetch anteriores à 2.6.1
Versões do node-fetch anteriores à 3.0.0-beta.9
Descrição
O problema está relacionado ao fato de a biblioteca node-fetch não respeitar a opção de tamanho após seguir um redirecionamento. Isso significa que, quando o tamanho do conteúdo ultrapassa o limite, um FetchError nunca seria lançado e o processo terminaria sem falha. Para a maioria dos usuários, essa correção terá pouco ou nenhum impacto. No entanto, se você depende do node-fetch para filtrar arquivos acima de um determinado tamanho, o impacto pode ser significativo. Por exemplo, se você não verificar novamente o tamanho dos dados após a conclusão do fetch(), sua thread JS pode ficar ocupada processando um arquivo grande, o que pode levar a um ataque de negação de serviço (DoS) ou a um aumento nos custos de computação.
Recomendações
Para versões anteriores à 2.6.1, atualize para a versão 2.6.1 ou posterior.
Para versões anteriores à 3.0.0-beta.9, atualize para a versão 3.0.0-beta.9 ou posterior.
Como solução temporária, considere verificar novamente o tamanho dos dados após a conclusão do fetch() para evitar uma possível negação de serviço (DoS) ou aumento nos custos de computação.
Correção
DoS
Resource Exhaustion
RCE
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Suse
Node-Fetch