Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Node.js (CVE-2019-5739)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/03/2019
Última modificación:
16/10/2020

Descripción

Las conexiones HTTP y HTTPS "keep-alive" pueden permanecer abiertas y inactivas durante hasta 2 minutos en Node.js en versiones 6.16.0 y anteriores. Node.js, en su versión 8.0.0, introducía un server.keepAliveTimeout que se establece a 5 segundos, por defecto. Este comportamiento en Node.js, en versiones 6.16.0 y anteriores, es un vector potencial para denegaciones de servicio (DoS). Node.js, en su versión 6.17.0, introduce server.keepAliveTimeout y el establecimiento de 5 segundos por defecto.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:* 6.16.0 (incluyendo)
cpe:2.3:o:opensuse:leap:42.3:*:*:*:*:*:*:*