PT-2024-2754 · Undici · Undici
Mcollina
·
Publicado
2024-02-05
·
Atualizado
2024-12-17
·
CVE-2024-24750
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Undici anteriores à 6.6.1
Descrição
O problema está relacionado à função
fetch() do cliente Undici HTTP/1.1 para Node.js, o que pode levar ao consumo descontrolado de recursos. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. O problema surge quando fetch(url) é chamado e o corpo da resposta recebida não é consumido ou é consumido muito lentamente, resultando em um vazamento de memória.Recomendações
Para versões anteriores à 6.6.1, atualize para a versão 6.6.1 ou posterior para resolver o problema.
Para usuários que não possam atualizar, certifique-se de sempre consumir o corpo da resposta ao chamar
fetch(url) para minimizar o risco de exploração.Exploit
Correção
Resource Exhaustion
Memory Leak
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Undici