Vulnerabilidad en Express (CVE-2024-43796)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
10/09/2024
Última modificación:
20/09/2024
Descripción
Express.js, el framework web minimalista para Node. En Express anterior a la versión 4.20.0, pasar una entrada de usuario no confiable (incluso después de desinfectarla) a response.redirect() puede ejecutar código no confiable. Este problema se solucionó en Express 4.20.0.
Impacto
Puntuación base 3.x
4.70
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openjsf:express:*:*:*:*:*:node.js:*:* | 4.20.0 (excluyendo) | |
| cpe:2.3:a:openjsf:express:5.0.0:alpha1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openjsf:express:5.0.0:alpha2:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openjsf:express:5.0.0:alpha3:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openjsf:express:5.0.0:alpha4:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openjsf:express:5.0.0:alpha5:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openjsf:express:5.0.0:alpha6:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openjsf:express:5.0.0:alpha7:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openjsf:express:5.0.0:alpha8:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openjsf:express:5.0.0:beta1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openjsf:express:5.0.0:beta2:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openjsf:express:5.0.0:beta3:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página