Vulnerabilidad en Node.js (CVE-2018-12123)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/11/2018
Última modificación:
13/12/2024
Descripción
Node.js: Todas las versiones anteriores a la 6.15.0, 8.14.0, 10.14.0 y 11.3.0: Suplantación dek nombre del host en un analizador de URL para el protocolo JavaScript. Si una aplicación de Node.js está empleando url.parse() para determinar el nombre de host de la URL, dicho nombre puede suplantarse mediante un protocolo "javascript:" de letra mixta (por ejemplo, "javAscript:"). Otros protocolos no se han visto afectados. Si se realizan decisiones de seguridad sobre la URL basadas en su nombre de host, podrían ser incorrectas.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:* | 6.0.0 (incluyendo) | 6.15.0 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:* | 8.0.0 (incluyendo) | 8.14.0 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:* | 10.0.0 (incluyendo) | 10.14.0 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* | 11.0.0 (incluyendo) | 11.3.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2019:1821
- https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/
- https://security.gentoo.org/glsa/202003-48
- https://access.redhat.com/errata/RHSA-2019:1821
- https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/
- https://security.gentoo.org/glsa/202003-48
- https://security.netapp.com/advisory/ntap-20241213-0008/