PT-2024-2956 · Node.Js+3 · Undici+3

Uzlopak

·

Publicado

2024-04-04

·

Atualizado

2024-12-18

·

CVE-2024-30261

CVSS v3.1

3.5

Baixa

VetorAV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do Undici anteriores à 5.28.4
Versões do Undici anteriores à 6.11.1
Descrição
O problema está relacionado a um controle de acesso insuficiente no cliente Undici HTTP/1.1 para Node.js, permitindo que um invasor remoto execute código arbitrário ao alterar a opção integrity passada para fetch(). Isso faz com que fetch() aceite solicitações adulteradas como válidas.
Recomendações
Para versões anteriores à 5.28.4, atualize para a versão 5.28.4 ou posterior.
Para versões anteriores à 6.11.1, atualize para a versão 6.11.1 ou posterior.
Como solução temporária, certifique-se de que a opção integrity não possa ser adulterada para minimizar o risco de exploração.

Exploit

Correção

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284

Identificadores relacionados

AZL-39773
AZL-39819
BDU:2024-03123
CVE-2024-30261
GHSA-9QXR-QJ54-H672
OESA-2024-2174
OPENSUSE-SU-2024:13855-1
OPENSUSE-SU-2024_1301-1
OPENSUSE-SU-2024_1309-1
OPENSUSE-SU-2024_1837-1
SUSE-SU-2024:1301-1
SUSE-SU-2024:1307-1
SUSE-SU-2024:1309-1
SUSE-SU-2024:1836-1
SUSE-SU-2024:1837-1

Produtos afetados

Astra Linux
Debian
Suse
Undici