Vulnerabilidad en Node.js (CVE-2018-12115)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
21/08/2018
Última modificación:
20/03/2020
Descripción
En todas las versiones de Node.js anteriores a la 6.14.4, 8.11.4 y 10.9.0, cuando se utiliza con codificación UCS-2 (reconocida por Node.js bajo los nombres "ucs2", "ucs-2", "utf16le" y "utf-16le"), se puede explotar "Buffer#write()" para escribir fuera de los límites de un búfer. Las escrituras que empiezan desde la segunda hasta la última posición de un búfer provocan un error de cálculo de la longitud máxima de los bytes de entrada que se van a escribir.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* | 6.14.4 (excluyendo) | |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.11.4 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.9.0 (excluyendo) |
| cpe:2.3:a:redhat:openshift_container_platform:3.11:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/105127
- https://access.redhat.com/errata/RHSA-2018:2552
- https://access.redhat.com/errata/RHSA-2018:2553
- https://access.redhat.com/errata/RHSA-2018:2944
- https://access.redhat.com/errata/RHSA-2018:2949
- https://access.redhat.com/errata/RHSA-2018:3537
- https://nodejs.org/en/blog/vulnerability/august-2018-security-releases/
- https://security.gentoo.org/glsa/202003-48