PT-2025-7056 · Koa · Koa
R4356Th
·
Publicado
2025-02-12
·
Atualizado
2026-01-20
·
CVE-2025-25200
CVSS v4.0
9.2
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H |
Nome do Software Vulnerável e Versões Afetadas:
Versões do Koa anteriores a 0.21.2
Versões do Koa anteriores a 1.7.1
Versões do Koa anteriores a 2.15.4
Versões do Koa anteriores a 3.0.0-alpha.3
Descrição:
O problema refere-se a um ataque de Negação de Serviço devido ao Koa utilizar uma expressão regular maliciosa para processar os cabeçalhos HTTP
X-Forwarded-Proto e X-Forwarded-Host. Isso pode ser explorado para realizar um ataque de Negação de Serviço, causando esgotamento de memória.Recomendações:
Para versões anteriores a 0.21.2, atualize para a versão 0.21.2 ou posterior.
Para versões anteriores a 1.7.1, atualize para a versão 1.7.1 ou posterior.
Para versões anteriores a 2.15.4, atualize para a versão 2.15.4 ou posterior.
Para versões anteriores a 3.0.0-alpha.3, atualize para a versão 3.0.0-alpha.3 ou posterior.
Como solução temporária, considere restringir o acesso aos cabeçalhos HTTP
X-Forwarded-Proto e X-Forwarded-Host até que um patch esteja disponível.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Koa