CVE-2022-21208

Опубликовано: 23 авг. 2022

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

The package node-opcua before 2.74.0 are vulnerable to Denial of Service (DoS) due to a missing limitation on the number of received chunks - per single session or in total for all concurrent sessions. An attacker can exploit this vulnerability by sending an unlimited number of huge chunks (e.g. 2GB each) without sending the Final closing chunk.

Ссылки

https://github.com/node-opcua/node-opcua/commit/33ca3bab4ab781392a2f8d8f5a14de9a0aa0e410
Patch
Third Party Advisory
https://github.com/node-opcua/node-opcua/commit/dbcb5d5191118c22ee9c89332a94b94e6553d76b
Patch
Third Party Advisory
https://github.com/node-opcua/node-opcua/pull/1149
Patch
Third Party Advisory
https://security.snyk.io/vuln/SNYK-JS-NODEOPCUA-2988723
Third Party Advisory
https://github.com/node-opcua/node-opcua/commit/33ca3bab4ab781392a2f8d8f5a14de9a0aa0e410
Patch
Third Party Advisory
https://github.com/node-opcua/node-opcua/commit/dbcb5d5191118c22ee9c89332a94b94e6553d76b
Patch
Third Party Advisory
https://github.com/node-opcua/node-opcua/pull/1149
Patch
Third Party Advisory
https://security.snyk.io/vuln/SNYK-JS-NODEOPCUA-2988723
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:node-opcua_project:node-opcua:*:*:*:*:*:node.js:*:*

Версия до 2.74.0 (исключая)

EPSS

Процентиль: 73%

0.00784

Низкий

7.5 High

CVSS3

Дефекты

CWE-1284

Связанные уязвимости

GHSA-4hr4-pjjh-2q2w

CVSS3: 7.5

github

больше 3 лет назад

Uncontrolled Resource Consumption in node-opcua

BDU:2022-05308

CVSS3: 7.5

fstec

больше 3 лет назад

Уязвимость реализаций спецификации передачи данных в промышленных сетях node-opcua, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 73%

0.00784

Низкий

7.5 High

CVSS3

Дефекты

CWE-1284