BDU:2023-05169

Опубликовано: 16 мар. 2023

Источник: fstec

CVSS3: 6.1

CVSS2: 6.4

EPSS Низкий

Описание

Уязвимость пакета Request программной платформы Node.js связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, позволяющая нарушителю осуществить SSRF-атаку

Вендор

Node.js Foundation

Wazuh, Inc

Наименование ПО

Node.js

Wazuh

Версия ПО

до 2.88.1 влючительно (Node.js)

4.4.5 (Wazuh)

Тип ПО

Сетевое программное средство

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Node.js:

https://github.com/request/request/issues/3442

https://github.com/request/request/pull/3444

Компенсирующие меры для Wazuh:

- использование антивирусных средств защиты;

- мониторинг действий пользователей;

- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;

- применение систем обнаружения и предотвращения вторжений.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-28155
CVE

EPSS

Процентиль: 69%

0.00605

Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2023-28155

CVSS3: 6.1

ubuntu

больше 2 лет назад

** UNSUPPORTED WHEN ASSIGNED ** The Request package through 2.88.1 for Node.js allows a bypass of SSRF mitigations via an attacker-controller server that does a cross-protocol redirect (HTTP to HTTPS, or HTTPS to HTTP). NOTE: This vulnerability only affects products that are no longer supported by the maintainer.

CVE-2023-28155

CVSS3: 6.1

nvd

больше 2 лет назад

The Request package through 2.88.1 for Node.js allows a bypass of SSRF mitigations via an attacker-controller server that does a cross-protocol redirect (HTTP to HTTPS, or HTTPS to HTTP). NOTE: This vulnerability only affects products that are no longer supported by the maintainer.

CVE-2023-28155

CVSS3: 6.1

msrc

больше 2 лет назад

Описание отсутствует

CVE-2023-28155

CVSS3: 6.1

debian

больше 2 лет назад

The Request package through 2.88.1 for Node.js allows a bypass of SSRF ...

GHSA-p8p7-x288-28g6

CVSS3: 6.1

github

больше 2 лет назад

Server-Side Request Forgery in Request

EPSS

Процентиль: 69%

0.00605

Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2