PT-2022-16827 · Unknown · Fluture-Node
Avaq
·
Publicado
2022-03-01
·
Atualizado
2023-07-03
·
CVE-2022-24719
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões 4.0.0 a 4.0.1 do Fluture-Node
Descrição
O uso de
followRedirects ou followRedirectsWith com qualquer uma das estratégias de redirecionamento integradas ao Fluture-Node, combinado com uma solicitação que inclua cabeçalhos confidenciais, como Authorization ou Cookie, expõe você a uma vulnerabilidade na qual, se o servidor de destino redirecionar a solicitação para um servidor em um domínio de terceiros ou para o mesmo domínio por HTTP não criptografado, os cabeçalhos seriam incluídos na solicitação subsequente e ficariam expostos a terceiros ou a um possível sniffing de tráfego HTTP.Recomendações
Para as versões 4.0.0 e 4.0.1, use uma estratégia de redirecionamento personalizada por meio da função
followRedirectsWith como uma solução alternativa temporária, com base nas novas estratégias disponíveis em Fluture-Node@4.0.2.Atualize para a versão 4.0.2, que automaticamente oculta cabeçalhos confidenciais quando um redirecionamento é seguido para outra origem.
Exploit
Correção
Open Redirect
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fluture-Node