Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02800

Опубликовано: 05 фев. 2024
Источник: fstec
CVSS3: 3.9
CVSS2: 5.1
EPSS Низкий

Описание

Уязвимость клиента HTTP/1.1 Undici программной платформы Node.js связана с недостаточной защитой служебных данных в результате некорректной очистки заголовков Proxy-Authentication. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Вендор

Node.js Foundation
ООО «РусБИТех-Астра»

Наименование ПО

Undici
Astra Linux Special Edition

Версия ПО

до 5.28.2 включительно (Undici)
от 6.0.0 до 6.6.0 включительно (Undici)
1.8 (Astra Linux Special Edition)

Тип ПО

Сетевое средство
Операционная система

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,1)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/nodejs/undici/commit/b9da3e40f1f096a06b4caedbb27c2568730434ef
https://github.com/nodejs/undici/releases/tag/v6.6.1
https://github.com/nodejs/undici/releases/tag/v5.28.3
Для ОС Astra Linux:
обновить пакет node-undici до 5.28.4+dfsg1+~cs23.12.11-2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 43%
0.00205
Низкий

3.9 Low

CVSS3

5.1 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-24758

CVSS3: 3.9
ubuntu
почти 2 года назад

Undici is an HTTP/1.1 client, written from scratch for Node.js. Undici already cleared Authorization headers on cross-origin redirects, but did not clear `Proxy-Authentication` headers. This issue has been patched in versions 5.28.3 and 6.6.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.

redhat логотип

CVE-2024-24758

CVSS3: 3.9
redhat
почти 2 года назад

Undici is an HTTP/1.1 client, written from scratch for Node.js. Undici already cleared Authorization headers on cross-origin redirects, but did not clear `Proxy-Authentication` headers. This issue has been patched in versions 5.28.3 and 6.6.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.

nvd логотип

CVE-2024-24758

CVSS3: 3.9
nvd
почти 2 года назад

Undici is an HTTP/1.1 client, written from scratch for Node.js. Undici already cleared Authorization headers on cross-origin redirects, but did not clear `Proxy-Authentication` headers. This issue has been patched in versions 5.28.3 and 6.6.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.

msrc логотип

CVE-2024-24758

CVSS3: 4.5
msrc
около 1 года назад

Proxy-Authorization header not cleared on cross-origin redirect in fetch in Undici

debian логотип

CVE-2024-24758

CVSS3: 3.9
debian
почти 2 года назад

Undici is an HTTP/1.1 client, written from scratch for Node.js. Undici ...

EPSS

Процентиль: 43%
0.00205
Низкий

3.9 Low

CVSS3

5.1 Medium

CVSS2