9VSA21-00351-01 CSIRT comparte vulnerabilidades obtenidas de Node.js
CSIRT comparte la información entregada por la Open.js Foundation sobre una serie de vulnerabilidades que afectan a Node.js.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por la Open.js Foundation sobre una serie de vulnerabilidades que afectan a Node.js.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidades
CVE-2020-8287
CVE-2020-8265
Impacto
Estas vulnerabilidades son categorizadas como de riesgo medio. CVE-2020-8287 permite a un atacante remoto realizar un ataque conocido como HRS (por HTTP request smuggling), aprovechando una validación incorrecta de las solicitudes HTTP para introducir cabeceras HTTP arbitrarias. Esto se puede usar para realizar ataques de phishing.
Mientras tanto, CVE-2020-8265 posibilita a un atacante remoto realizar un ataque de denegación de servicio (DoS), gracias a un error de uso de memoria después de ser liberada, en el componente TLSWrap.
Productos Afectados
Node.js, versions de la 10.0.0 a la 15.5.0.
Mitigación
Instalar las actualizaciones del sitio del proveedor.
Enlaces
https://nodejs.org/en/blog/release/v12.20.1/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8287
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8265
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00351-01