PT-2024-5560 · Npm+4 · Ws+4
Ryan Lapointe
·
Publicado
2024-06-10
·
Atualizado
2026-06-15
·
CVE-2024-37890
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do ws anteriores à 8.17.1
Versões do ws anteriores à 7.5.10
Versões do ws anteriores à 6.2.3
Versões do ws anteriores à 5.2.4
Descrição
O problema está relacionado a erros no tratamento de cabeçalhos de solicitação na biblioteca ws para Node.js, especificamente quando o número de cabeçalhos excede o limite
server.maxHeadersCount. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. A vulnerabilidade pode ser mitigada reduzindo o comprimento máximo permitido dos cabeçalhos de solicitação ou definindo server.maxHeadersCount como 0.Recomendações
Para versões do ws anteriores à 8.17.1, atualize para a versão 8.17.1 ou posterior.
Para versões do ws anteriores à 7.5.10, atualize para a versão 7.5.10 ou posterior.
Para versões do ws anteriores à 6.2.3, atualize para a versão 6.2.3 ou posterior.
Para versões do ws anteriores à 5.2.4, atualize para a versão 5.2.4 ou posterior.
Como solução alternativa temporária, considere reduzir o comprimento máximo permitido dos cabeçalhos de solicitação usando as opções
--max-http-header-size=size e/ou maxHeaderSize, de modo que não seja possível enviar mais cabeçalhos do que o limite server.maxHeadersCount.Como alternativa, defina
server.maxHeadersCount como 0 para que nenhum limite seja aplicado.Exploit
Correção
DoS
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Confluence
Debian
Red Os
Ws