PT-2024-2958 · Node.Js+9 · Node.Js+9

Bpingel

·

Publicado

2024-04-03

·

Atualizado

2026-05-18

·

CVE-2024-27982

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Node.js anteriores à versão corrigida
Descrição
O problema está relacionado ao tratamento inadequado de solicitações HTTP na plataforma Node.js, permitindo que um invasor remoto envie uma solicitação HTTP oculta, conhecida como ataque de contrabando de solicitação HTTP. Isso pode ocorrer quando cabeçalhos malformados são enviados, especificamente se um espaço for colocado antes de um cabeçalho content-length, o que não é interpretado corretamente. Isso permite que invasores introduzam uma segunda solicitação dentro do corpo da primeira.
Recomendações
Para versões do Node.js anteriores à versão corrigida, considere desativar a funcionalidade do servidor HTTP até que um patch esteja disponível.
Restrinja o acesso ao servidor HTTP para minimizar o risco de exploração.
Evite usar cabeçalhos malformados, especificamente aqueles com um espaço antes do cabeçalho content-length, no servidor HTTP afetado até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

RCE

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-444

Identificadores relacionados

ALSA-2024:2778
ALSA-2024:2779
ALSA-2024:2780
ALSA-2024:2853
ALSA-2024:2910
ALT-PU-2024-5094
ALT-PU-2025-2007
ALT-PU-2025-2047
AZL-40349
AZL-40352
BDU:2024-03125
BIT-NODE-2024-27982
BIT-NODE-MIN-2024-27982
CESA-2024_2778
CESA-2024_2780
CLEANSTART-2026-BD71263
CLEANSTART-2026-IS74202
CLEANSTART-2026-JR35772
CLEANSTART-2026-JY06700
CLEANSTART-2026-KN34553
CLEANSTART-2026-KZ45320
CLEANSTART-2026-LJ44720
CLEANSTART-2026-LN12820
CLEANSTART-2026-TX00223
CLEANSTART-2026-WI75198
CVE-2024-27982
DLA-3886-1
DSA-5991-1
ECHO-6B08-F4B2-DB87
INFSA-2024_2779
INFSA-2024_2853
INFSA-2024_2910
MGASA-2024-0110
OESA-2024-2171
OESA-2024-2172
OESA-2024-2173
OESA-2024-2174
OESA-2024-2175
OPENSUSE-SU-2024:13851-1
OPENSUSE-SU-2024:13852-1
OPENSUSE-SU-2024_1301-1
OPENSUSE-SU-2024_1306-1
OPENSUSE-SU-2024_1308-1
OPENSUSE-SU-2024_1309-1
RHSA-2024:2778
RHSA-2024:2779
RHSA-2024:2780
RHSA-2024:2853
RHSA-2024:2910
RHSA-2024:3545
RHSA-2024:4559
RHSA-2024_2778
RHSA-2024_2779
RHSA-2024_2780
RHSA-2024_2853
RHSA-2024_2910
RLSA-2024:2778
RLSA-2024:2779
RLSA-2024:2780
RLSA-2024:2853
RLSA-2024:2910
SUSE-SU-2024:1301-1
SUSE-SU-2024:1305-1
SUSE-SU-2024:1306-1
SUSE-SU-2024:1307-1
SUSE-SU-2024:1308-1
SUSE-SU-2024:1309-1
SUSE-SU-2024:1346-1
SUSE-SU-2024:1355-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Debian
Node.Js
Red Hat
Red Os
Rocky Linux
Suse