Vulnerabilidad en follow-redirects de Node (CVE-2024-28849)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

14/03/2024

Última modificación:

05/12/2025

Descripción

follow-redirects es un reemplazo directo de código abierto para los módulos `http` y `https` de Node que sigue automáticamente las redirecciones. En las versiones afectadas, follow-redirects solo borra el encabezado de autorización durante el redireccionamiento entre dominios, pero mantiene el encabezado de autenticación de proxy que también contiene las credenciales. Esta vulnerabilidad puede provocar una fuga de credenciales, pero se solucionó en la versión 1.15.6. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno