Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05657

Опубликовано: 18 сент. 2020
Источник: fstec
CVSS3: 7.4
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость программной платформы Node.js связана с ошибкой обработки имен HTTP - заголовка. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации или повысить свои привилегии

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Novell Inc.
Node.js Foundation
Oracle Corp.
IBM Corp.
АО «ИВК»
Hitachi, Ltd.

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
OpenSUSE Leap
Node.js
Oracle Linux
IBM Spectrum Control
Альт 8 СП
Hitachi Energy Gateway Station (GWS)
FACTS Control Platform (FCP)

Версия ПО

7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
8 (Red Hat Enterprise Linux)
7.6 EUS (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
7.7 EUS (Red Hat Enterprise Linux)
15.2 (OpenSUSE Leap)
8.1 Extended Update Support (Red Hat Enterprise Linux)
до 12.18.4 (Node.js)
до 14.11 (Node.js)
8 (Oracle Linux)
от 5.3.0.1 до 5.4.0 (IBM Spectrum Control)
- (Альт 8 СП)
до 3.2.0.0 (Hitachi Energy Gateway Station (GWS))
до 3.12.0 включительно (FACTS Control Platform (FCP))
до 2.3.0 включительно (FACTS Control Platform (FCP))
до 1.3.0 включительно (FACTS Control Platform (FCP))

Тип ПО

Операционная система
Сетевое программное средство
ПО программно-аппаратного средства
Средство АСУ ТП

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8
Red Hat Inc. Red Hat Enterprise Linux 7.6 EUS
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Red Hat Inc. Red Hat Enterprise Linux 7.7 EUS
Novell Inc. OpenSUSE Leap 15.2
Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
Oracle Corp. Oracle Linux 8
АО «ИВК» Альт 8 СП -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-8201
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-8201/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8201
Для программных продуктов Hitachi Energy:
https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02
https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01
Для программных продуктов Oracle Corp.:
https://linux.oracle.com/cve/CVE-2020-8201.html
Для IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-node-js-affect-ibm-spectrum-control-cve-2020-8201-cve-2020-8252/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 79%
0.01384
Низкий

7.4 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-8201

CVSS3: 7.4
ubuntu
почти 5 лет назад

Node.js < 12.18.4 and < 14.11 can be exploited to perform HTTP desync attacks and deliver malicious payloads to unsuspecting users. The payloads can be crafted by an attacker to hijack user sessions, poison cookies, perform clickjacking, and a multitude of other attacks depending on the architecture of the underlying system. The attack was possible due to a bug in processing of carrier-return symbols in the HTTP header names.

redhat логотип

CVE-2020-8201

CVSS3: 7.4
redhat
почти 5 лет назад

Node.js < 12.18.4 and < 14.11 can be exploited to perform HTTP desync attacks and deliver malicious payloads to unsuspecting users. The payloads can be crafted by an attacker to hijack user sessions, poison cookies, perform clickjacking, and a multitude of other attacks depending on the architecture of the underlying system. The attack was possible due to a bug in processing of carrier-return symbols in the HTTP header names.

nvd логотип

CVE-2020-8201

CVSS3: 7.4
nvd
почти 5 лет назад

Node.js < 12.18.4 and < 14.11 can be exploited to perform HTTP desync attacks and deliver malicious payloads to unsuspecting users. The payloads can be crafted by an attacker to hijack user sessions, poison cookies, perform clickjacking, and a multitude of other attacks depending on the architecture of the underlying system. The attack was possible due to a bug in processing of carrier-return symbols in the HTTP header names.

debian логотип

CVE-2020-8201

CVSS3: 7.4
debian
почти 5 лет назад

Node.js < 12.18.4 and < 14.11 can be exploited to perform HTTP desync ...

github логотип

GHSA-7mcp-gwc2-4c6m

CVSS3: 7.4
github
около 3 лет назад

Node.js < 12.18.4 and < 14.11 can be exploited to perform HTTP desync attacks and deliver malicious payloads to unsuspecting users. The payloads can be crafted by an attacker to hijack user sessions, poison cookies, perform clickjacking, and a multitude of other attacks depending on the architecture of the underlying system. The attack was possible due to a bug in processing of carrier-return symbols in the HTTP header names.

EPSS

Процентиль: 79%
0.01384
Низкий

7.4 High

CVSS3

7.1 High

CVSS2