PT-2022-13054 · Npm+7 · Node-Fetch+7

Ranjit-Git

Publicado

2022-01-16

Atualizado

2026-06-04

CVE-2022-0235

CVSS v3.1

8.8

Alta

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões do node-fetch (versões afetadas não especificadas)

Descrição

O problema diz respeito à exposição de informações confidenciais a um agente não autorizado. Especificamente, o node-fetch encaminha cabeçalhos seguros, como authorization, www-authenticate, cookie e cookie2, ao redirecionar para um site não confiável.

Recomendações

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Open Redirect

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-601CWE-200CWE-173

Identificadores relacionados

ALSA-2023:0050

ALSA-2023_0050

ALSA-2025_16880

CESA-2023_0050

CVE-2022-0235

DLA-3222-1

GHSA-R683-J2X4-V87G

OPENSUSE-SU-2022_1461-1

OPENSUSE-SU-2022_1462-1

OPENSUSE-SU-2022_1694-1

OPENSUSE-SU-2022_1717-1

RHSA-2023:0050

RHSA-2023:0612

RHSA-2023:1742

RHSA-2023_0050

RLSA-2023:0050

SUSE-SU-2022:1459-1

SUSE-SU-2022:1461-1

SUSE-SU-2022:1462-1

SUSE-SU-2022:1466-1

SUSE-SU-2022:1694-1

SUSE-SU-2022:1717-1

SUSE-SU-2022_1717-1

USN-6158-1

Produtos afetados

Almalinux

Centos

Linuxmint

Red Hat

Rocky Linux

Suse

Ubuntu

Node-Fetch

PT-2022-13054 · Npm+7 · Node-Fetch+7

CVE-2022-0235

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 78