CVE-2022-29167

Versões do Hawk anteriores à 9.0.1

O Hawk é um esquema de autenticação HTTP que fornece mecanismos para realizar solicitações HTTP autenticadas com verificação criptográfica parcial da solicitação e da resposta. Verificou-se que ele é vulnerável a um ataque DoS de expressão regular devido ao uso de uma expressão regular para analisar o cabeçalho HTTP Host na função Hawk.utils.parseHost(). Essa vulnerabilidade permite que um invasor aumente o tempo de computação exponencialmente a cada caractere adicionado na entrada. A função parseHost() foi corrigida na versão 9.0.1 para usar a classe URL integrada para analisar o nome do host. A função Hawk.authenticate() aceita um argumento options e, se ele contiver host e port, esses valores serão usados em vez de uma chamada para utils.parseHost().

Para versões anteriores à 9.0.1, atualize para a versão 9.0.1 ou posterior para corrigir a vulnerabilidade.

Como solução alternativa temporária, considere passar host e port no argumento options para Hawk.authenticate() a fim de evitar o uso de utils.parseHost().