Vulnerabilidad en HTTP/2 server de Node.js (CVE-2024-27983)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-362
Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
09/04/2024
Última modificación:
14/03/2025
Descripción
Un atacante puede hacer que el servidor HTTP/2 de Node.js no esté completamente disponible enviando una pequeña cantidad de paquetes de tramas HTTP/2 con algunas tramas HTTP/2 en su interior. Es posible dejar algunos datos en la memoria nghttp2 después del reinicio cuando los encabezados con el frame de CONTINUATION HTTP/2 se envían al servidor y luego el cliente cierra abruptamente una conexión TCP activando el destructor Http2Session mientras los frames de encabezado aún se están procesando (y almacenando en la memoria) causando una condición de ejecución.
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/04/03/16
- https://hackerone.com/reports/2319584
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JDECX4BYZLMM4S4LALN4DPZ2HUTTPLKE/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YDVFUH7ACZPYB3BS4SVILNOY7NQU73VW/
- https://security.netapp.com/advisory/ntap-20240510-0002/
- http://www.openwall.com/lists/oss-security/2024/04/03/16
- https://hackerone.com/reports/2319584
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JDECX4BYZLMM4S4LALN4DPZ2HUTTPLKE/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YDVFUH7ACZPYB3BS4SVILNOY7NQU73VW/
- https://security.netapp.com/advisory/ntap-20240510-0002/