Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en negotiator (CVE-2016-10539)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
31/05/2018
Última modificación:
17/06/2026

Descripción

negotiator es un negociador de contenido HTTP para Node.js y es empleado por muchos módulos y frameworks, incluyendo Express y Koa. La cabecera para "Accept-Language", cuando es analizada por negotiator en versiones 0.6.0 y anteriores es vulnerable a una denegación de servicio con expresiones regulares (ReDoS) mediante una cadena especialmente manipulada.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:negotiator_project:negotiator:*:*:*:*:*:node.js:*:* 0.6.0 (incluyendo)