Nodejs Core 访问控制错误漏洞

CVE编号

CVE-2020-8287

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-01-07

漏洞描述

Nodejs Core是OpenJS基金会的一个编译到Nodejs中的核心模块。该模块为Nodejs提供底层的TCP，HTTP，DNS，文件系统，子进程等功能支持。
Node Core存在安全漏洞，攻击者可利用该漏洞通过HTTP Request Smuggling绕过访问限制，以读取或更改数据。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://github.com/nodejs/node/commit/fc70ce08f5818a286fb5899a1bc3aff5965a745e

参考链接
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf
https://hackerone.com/reports/1002188
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://nodejs.org/en/blog/vulnerability/january-2021-security-releases/
https://security.gentoo.org/glsa/202101-07
https://security.netapp.com/advisory/ntap-20210212-0003/
https://www.debian.org/security/2021/dsa-4826
https://www.oracle.com/security-alerts/cpujan2021.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	nodejs	node.js	*	From (including) 10.0.0	Up to (excluding) 10.23.1
	运行在以下环境
	应用	nodejs	node.js	*	From (including) 12.0.0	Up to (excluding) 12.20.1
	运行在以下环境
	应用	nodejs	node.js	*	From (including) 14.0.0	Up to (excluding) 14.15.4
	运行在以下环境
	应用	nodejs	node.js	*	From (including) 15.0.0	Up to (excluding) 15.5.1
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	nodejs	*		Up to (excluding) 14.15.4-2.1.al8
	运行在以下环境
	系统	alpine_3.11	nodejs	*		Up to (excluding) 12.20.1-r0
	运行在以下环境
	系统	alpine_3.12	nodejs	*		Up to (excluding) 12.20.1-r0
	运行在以下环境
	系统	alpine_3.13	nodejs	*		Up to (excluding) 14.15.4-r0
	运行在以下环境
	系统	alpine_3.14	nodejs	*		Up to (excluding) 14.15.4-r0
	运行在以下环境
	系统	alpine_3.15	nodejs	*		Up to (excluding) 14.15.4-r0
	运行在以下环境
	系统	alpine_edge	nodejs	*		Up to (excluding) 14.15.4-r0
	运行在以下环境
	系统	centos_8	nodejs	*		Up to (excluding) 1.18.3-1.module+el8+2632+6c5111ed
	运行在以下环境
	系统	debian	debian_linux	10.0	-
	运行在以下环境
	系统	debian_10	nodejs	*		Up to (excluding) 10.23.1~dfsg-1~deb10u1
	运行在以下环境
	系统	debian_11	nodejs	*		Up to (excluding) 12.19.0~dfsg-1
	运行在以下环境
	系统	debian_9	nodejs	*		Up to (excluding) 4.8.2~dfsg-1
	运行在以下环境
	系统	debian_sid	nodejs	*		Up to (excluding) 12.19.0~dfsg-1
	运行在以下环境
	系统	fedoraproject	fedora	33	-
	运行在以下环境
	系统	fedora_32	nodejs	*		Up to (excluding) 12.20.1-1.fc32
	运行在以下环境
	系统	fedora_32_Modular	nodejs	*		Up to (excluding) 12-3220210105181808.43bbeeef
	运行在以下环境
	系统	fedora_33	nodejs	*		Up to (excluding) 14.15.4-1.fc33
	运行在以下环境
	系统	fedora_33_Modular	nodejs	*		Up to (excluding) 12-3320210105181808.601d93de
	运行在以下环境
	系统	opensuse_Leap_15.1	nodejs	*		Up to (excluding) 10.23.1-lp151.2.15.1
	运行在以下环境
	系统	opensuse_Leap_15.2	nodejs	*		Up to (excluding) 8.17.0-lp152.3.8.1
	运行在以下环境
	系统	oracle linux_8	nodejs	*		Up to (excluding) 10.23.1-1.module+el8.3.0+9642+87902f83
	运行在以下环境
	系统	oracle_8	nodejs	*		Up to (excluding) 10.23.1-1.module+el8.3.0+9642+87902f83
	运行在以下环境
	系统	redhat_8	nodejs	*		Up to (excluding) 1.18.3-1.module+el8+2632+6c5111ed

攻击路径本地
攻击复杂度容易
权限要求普通权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性传输被破坏
服务器危害无影响
全网数量 N/A

CWE-ID 漏洞类型 CWE-444 HTTP请求的解释不一致性（HTTP请求私运）

正文

Nodejs Core 访问控制错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

IBM Jazz Reporting Service up to 5.0.2/6.0.0 Report Builder 跨站脚本攻击

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]