PT-2022-3606 · Node.Js+8 · Node.Js+8
Zeyu Zhang
+1
·
Publicado
2022-07-07
·
Atualizado
2026-05-18
·
CVE-2022-32214
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Node.js anteriores à 14.20.1
Versões do Node.js anteriores à 16.17.1
Versões do Node.js anteriores à 18.9.1
Descrição
O problema está relacionado ao analisador llhttp no módulo http do Node.js, que não utiliza estritamente a sequência CRLF para delimitar solicitações HTTP. Isso pode levar ao HTTP Request Smuggling (HRS), permitindo que um invasor remoto execute um ataque. O caractere LF (sem CR) é suficiente para delimitar campos de cabeçalho HTTP no analisador llhttp, o que contradiz a seção 3 da RFC7230, que estabelece que apenas a sequência CRLF deve delimitar cada campo de cabeçalho.
Recomendações
Para versões anteriores à 14.20.1, atualize para a versão 14.20.1 ou posterior.
Para versões anteriores à 16.17.1, atualize para a versão 16.17.1 ou posterior.
Para versões anteriores à 18.9.1, atualize para a versão 18.9.1 ou posterior.
Exploit
Correção
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Linuxmint
Node.Js
Red Hat
Rocky Linux
Suse
Ubuntu