Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función ServerResponse#writeHead en Node.js (CVE-2016-5325)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-113 Neutralización incorrecta de secuencias CRLF en cabeceras HTTP (División de respuesta HTTP)
Fecha de publicación:
10/10/2016
Última modificación:
12/04/2025

Descripción

Vulnerabilidad de inyección CRLF en la función ServerResponse#writeHead en Node.js 0.10.x en versiones anteriores a 0.10.47, 0.12.x en versiones anteriores a 0.12.16, 4.x en versiones anteriores a 4.6.0 y 6.x en versiones anteriores a 6.7.0 permite a atacantes remotos inyectar cabeceras HTTP arbitrarias y llevar a cabo ataques de separación de respuesta HTTP a través del argumento de la razón.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nodejs:node.js:4.0.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.1.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.1.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.1.2:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.2:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.3:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.4:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.5:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.6:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.3.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.3.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.3.2:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.4.0:*:*:*:*:*:*:*