GHSA-5689-v88g-g6rv

Опубликовано: 15 июл. 2022

Источник: github

Github: Прошло ревью

CVSS3: 9.1

Описание

llhttp allows HTTP Request Smuggling via Flawed Parsing of Transfer-Encoding

The llhttp parser in the http module in Node.js v17.x does not correctly parse and validate Transfer-Encoding headers and can lead to HTTP Request Smuggling (HRS).

Impacts:

All versions of the nodejs 18.x, 16.x, and 14.x releases lines.
llhttp v6.0.7 and llhttp v2.1.5 contains the fixes that were updated inside Node.js

Ссылки

Пакеты

Наименование

llhttp

npm

Затронутые версииВерсия исправления

< 6.0.7

6.0.7

EPSS

Процентиль: 99%

0.89015

Высокий

9.1 Critical

CVSS3

CVE ID

CVE-2022-32213

Дефекты

CWE-444

Связанные уязвимости

CVE-2022-32213

CVSS3: 6.5

ubuntu

почти 3 года назад

The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not correctly parse and validate Transfer-Encoding headers and can lead to HTTP Request Smuggling (HRS).

CVE-2022-32213

CVSS3: 6.5

redhat

почти 3 года назад

The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not correctly parse and validate Transfer-Encoding headers and can lead to HTTP Request Smuggling (HRS).

CVE-2022-32213

CVSS3: 6.5

nvd

почти 3 года назад

The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not correctly parse and validate Transfer-Encoding headers and can lead to HTTP Request Smuggling (HRS).

CVE-2022-32213

CVSS3: 6.5

msrc

почти 3 года назад

Описание отсутствует

CVE-2022-32213

CVSS3: 6.5

debian

почти 3 года назад

The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module ...

EPSS

Процентиль: 99%

0.89015

Высокий

9.1 Critical

CVSS3

CVE ID

CVE-2022-32213

Дефекты

CWE-444