Vulnerabilidad en Express (CVE-2022-24999)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/11/2022
Última modificación:
29/04/2025
Descripción
qs anterior a 6.10.3, como se usa en Express anterior a 4.17.3 y otros productos, permite a los atacantes provocar que un proceso de Nodo se cuelgue para una aplicación Express porque se puede usar una clave __ proto__. En muchos casos de uso típicos de Express, un atacante remoto no autenticado puede colocar el payload del ataque en la cadena de consulta de la URL que se utiliza para visitar la aplicación, como a[__proto__]=b&a[__proto__]&a[length] =100000000. La solución se respaldó a qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3 y 6.2.4 (y por lo tanto a Express 4.17.3, que tiene "deps : qs@6.9.7" en la descripción de su versión, no es vulnerable).
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:qs_project:qs:*:*:*:*:*:node.js:*:* | 6.2.4 (excluyendo) | |
| cpe:2.3:a:qs_project:qs:*:*:*:*:*:node.js:*:* | 6.3.0 (incluyendo) | 6.3.3 (excluyendo) |
| cpe:2.3:a:qs_project:qs:*:*:*:*:*:node.js:*:* | 6.5.0 (incluyendo) | 6.5.3 (excluyendo) |
| cpe:2.3:a:qs_project:qs:*:*:*:*:*:node.js:*:* | 6.7.0 (incluyendo) | 6.7.3 (excluyendo) |
| cpe:2.3:a:qs_project:qs:*:*:*:*:*:node.js:*:* | 6.8.0 (incluyendo) | 6.8.3 (excluyendo) |
| cpe:2.3:a:qs_project:qs:*:*:*:*:*:node.js:*:* | 6.9.0 (incluyendo) | 6.9.7 (excluyendo) |
| cpe:2.3:a:qs_project:qs:*:*:*:*:*:node.js:*:* | 6.10.0 (incluyendo) | 6.10.3 (excluyendo) |
| cpe:2.3:a:qs_project:qs:6.4.0:*:*:*:*:node.js:*:* | ||
| cpe:2.3:a:qs_project:qs:6.6.0:*:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openjsf:express:*:*:*:*:*:node.js:*:* | 4.17.3 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/expressjs/express/releases/tag/4.17.3
- https://github.com/ljharb/qs/pull/428
- https://github.com/n8tz/CVE-2022-24999
- https://lists.debian.org/debian-lts-announce/2023/01/msg00039.html
- https://security.netapp.com/advisory/ntap-20230908-0005/
- https://github.com/expressjs/express/releases/tag/4.17.3
- https://github.com/ljharb/qs/pull/428
- https://github.com/n8tz/CVE-2022-24999
- https://lists.debian.org/debian-lts-announce/2023/01/msg00039.html
- https://security.netapp.com/advisory/ntap-20230908-0005/