PT-2024-16314 · Express+1 · Express+1
Abze
·
Publicado
2024-10-29
·
Atualizado
2024-11-07
·
CVE-2024-10491
CVSS v3.1
4.0
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Express (versões afetadas não especificadas)
Descrição
Foi identificada uma vulnerabilidade na função
response.links do Express, que permite a injeção arbitrária de recursos no cabeçalho Link quando são utilizados dados não sanitizados. O problema decorre da sanitização inadequada nos valores do cabeçalho Link, o que pode permitir que uma combinação de caracteres como ,, ; e <> pré-carregue recursos maliciosos. Esta vulnerabilidade é especialmente relevante para parâmetros dinâmicos.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Express