PT-2024-27956 · Node.Js+2 · Node.Js+2
Y0Urstruly
·
Publicado
2024-06-19
·
Atualizado
2026-06-04
·
CVE-2024-38355
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do socket.io anteriores à 4.6.2
Versões do socket.io de 2.3.0 a 2.5.0
Descrição
Um pacote Socket.IO especialmente criado pode provocar uma exceção não capturada no servidor Socket.IO, encerrando assim o processo do Node.js. Esse problema pode ser mitigado anexando um ouvinte para o evento “error” a fim de capturar esses erros.
Recomendações
Para versões do socket.io anteriores à 4.6.2, atualize para socket.io@4.6.2 ou posterior.
Para versões do socket.io de 2.3.0 a 2.5.0, atualize para socket.io@2.5.1 ou posterior.
Como solução temporária, considere anexar um ouvinte para o evento “error” para capturar esses erros, por exemplo:
javascript
io.on(“connection”, (socket) => {
socket.on(“error”, () => {
// ...
});
});
Exploit
Correção
RCE
Improper Check for Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Node.Js
Suse
Socket.Io