PT-2021-2152 · Node.Js+9 · Node.Js+9

Publicado

2020-01-24

·

Atualizado

2026-05-18

·

CVE-2020-8287

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do Node.js anteriores à 10.23.1, 12.20.1, 14.15.4 e 15.5.1
Descrição
O problema está relacionado à interpretação inconsistente de solicitações HTTP. Isso pode levar ao HTTP Request Smuggling quando duas cópias de um campo de cabeçalho estão presentes em uma solicitação HTTP, como dois campos de cabeçalho Transfer-Encoding. Nesse caso, o Node.js identifica o primeiro campo de cabeçalho e ignora o segundo. A exploração dessa vulnerabilidade pode permitir que um invasor remoto comprometa a confidencialidade e a integridade de informações protegidas.
Recomendações
Para versões anteriores à 10.23.1, atualize para a versão 10.23.1 ou posterior.
Para versões anteriores à 12.20.1, atualize para a versão 12.20.1 ou posterior.
Para versões anteriores à 14.15.4, atualize para a versão 14.15.4 ou posterior.
Para versões anteriores à 15.5.1, atualize para a versão 15.5.1 ou posterior.

Exploit

Correção

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444

Identificadores relacionados

ALSA-2021:0548
ALSA-2021:0549
ALSA-2021:0551
ALT-PU-2020-1090
ALT-PU-2021-1226
ALT-PU-2021-1493
ALT-PU-2022-3073
BDU:2021-01025
BIT-NODE-2020-8287
BIT-NODE-MIN-2020-8287
CESA-2021_0548
CESA-2021_0549
CESA-2021_0551
CLEANSTART-2026-BD71263
CLEANSTART-2026-IS74202
CLEANSTART-2026-JR35772
CLEANSTART-2026-JY06700
CLEANSTART-2026-KN34553
CLEANSTART-2026-KZ45320
CLEANSTART-2026-LJ44720
CLEANSTART-2026-LN12820
CLEANSTART-2026-TX00223
CLEANSTART-2026-WI75198
CVE-2020-8287
DLA-3224-1
DSA-4826-1
MGASA-2021-0069
MGASA-2022-0393
OESA-2021-1058
OPENSUSE-SU-2021:0064-1
OPENSUSE-SU-2021:0065-1
OPENSUSE-SU-2021:0066-1
OPENSUSE-SU-2021:0082-1
OPENSUSE-SU-2021:0195-1
OPENSUSE-SU-2021_0064-1
OPENSUSE-SU-2021_0065-1
OPENSUSE-SU-2021_0066-1
OPENSUSE-SU-2021_0082-1
OPENSUSE-SU-2021_0195-1
OPENSUSE-SU-2024:11096-1
RHSA-2021:0421
RHSA-2021:0485
RHSA-2021:0521
RHSA-2021:0548
RHSA-2021:0549
RHSA-2021:0551
RHSA-2021_0548
RHSA-2021_0549
RHSA-2021_0551
RLSA-2021:0548
RLSA-2021:0549
RLSA-2021:0551
SUSE-SU-2021:0060-1
SUSE-SU-2021:0061-1
SUSE-SU-2021:0062-1
SUSE-SU-2021:0068-1
SUSE-SU-2021:0082-1
SUSE-SU-2021:0107-1
SUSE-SU-2021:0121-1
SUSE-SU-2021:0224-1
SUSE-SU-2021_0121-1
SUSE-SU-2021_0224-1
USN-5563-1
USN-6380-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Node.Js
Red Hat
Rocky Linux
Suse
Ubuntu