Vulnerabilidad en FetchError en la función fetch() en node-fetch (CVE-2020-15168)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/09/2020
Última modificación:
17/09/2020
Descripción
node-fetch versiones anteriores a 2.6.1 y a 3.0.0-beta.9 no respetaba la opción de tamaño después de seguir un redireccionamiento, lo que significa que cuando un tamaño de contenido superaba el límite, una FetchError nunca se iniciaba y el proceso terminaba sin fallos. Para la mayoría de las personas, esta solución tendrá un impacto mínimo o nulo. Sin embargo, si confía en node-fetch para bloquear archivos por encima de un tamaño, el impacto podría ser significativo, por ejemplo: si no verifica dos veces el tamaño de los datos después de que se haya completado la función fetch(), su hilo o subproceso JS podría atarse haciendo que en un archivo grande (DoS) y/o le cueste dinero en informática
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:node-fetch_project:node-fetch:*:*:*:*:*:node.js:*:* | 2.6.1 (excluyendo) | |
| cpe:2.3:a:node-fetch_project:node-fetch:3.0.0:beta1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:node-fetch_project:node-fetch:3.0.0:beta5:*:*:*:node.js:*:* | ||
| cpe:2.3:a:node-fetch_project:node-fetch:3.0.0:beta6:*:*:*:node.js:*:* | ||
| cpe:2.3:a:node-fetch_project:node-fetch:3.0.0:beta7:*:*:*:node.js:*:* | ||
| cpe:2.3:a:node-fetch_project:node-fetch:3.0.0:beta8:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página