PT-2022-16831 · Uri.Js · Uri.Js
P0Cas
·
Publicado
2022-03-03
·
Atualizado
2023-07-03
·
CVE-2022-24723
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do URI.js anteriores à 1.19.9
Descrição
O problema decorre da não remoção de caracteres de espaço em branco do início do protocolo, resultando em uma análise incorreta da URL. Isso pode causar falhas nos mecanismos de validação do protocolo. O problema foi corrigido na versão 1.19.9. Como solução alternativa, remover os espaços em branco à esquerda dos valores antes de passá-los para
URI.parse pode mitigar o problema.Recomendações
Para versões anteriores à 1.19.9, atualize para a versão 1.19.9 para resolver o problema.
Como solução alternativa temporária, considere remover os espaços em branco à esquerda dos valores antes de passá-los para
URI.parse, por exemplo, usando uma função para remover espaços em branco da URL.Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Uri.Js