PT-2024-4071 · Node.Js+2 · Ip+3

Ouuan

·

Publicado

2024-05-06

·

Atualizado

2026-06-04

·

CVE-2024-29415

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas:
Versões do pacote ip até a 2.0.1 para Node.js
Descrição:
O problema está relacionado à classificação incorreta de determinados endereços IP como roteáveis globalmente por meio da função isPublic(), o que pode permitir ataques de falsificação de solicitação do lado do servidor (SSRF). Isso se deve a uma correção incompleta de um problema anterior. A vulnerabilidade pode ser explorada por um invasor remoto para realizar ataques SSRF. Estima-se que milhões de dispositivos estejam potencialmente afetados.
Recomendações:
Para versões do pacote ip até a 2.0.1, considere desativar a função isPublic() até que um patch esteja disponível para prevenir possíveis ataques SSRF.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918CWE-941

Identificadores relacionados

BDU:2024-04518
CVE-2024-29415
GHSA-2P57-RM9W-GVFP

Produtos afetados

Bitbucket
Confluence
Debian
Ip