9VSA21-00351-01 CSIRT comparte vulnerabilidades obtenidas de Node.js

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por la Open.js Foundation sobre una serie de vulnerabilidades que afectan a Node.js.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2020-8287

CVE-2020-8265

Impacto

Estas vulnerabilidades son categorizadas como de riesgo medio. CVE-2020-8287 permite a un atacante remoto realizar un ataque conocido como HRS (por HTTP request smuggling), aprovechando una validación incorrecta de las solicitudes HTTP para introducir cabeceras HTTP arbitrarias. Esto se puede usar para realizar ataques de phishing.

Mientras tanto, CVE-2020-8265 posibilita a un atacante remoto realizar un ataque de denegación de servicio (DoS), gracias a un error de uso de memoria después de ser liberada, en el componente TLSWrap.

Productos Afectados

Node.js, versions de la 10.0.0 a la 15.5.0.

Mitigación

Instalar las actualizaciones del sitio del proveedor.

Enlaces

https://nodejs.org/en/blog/release/v12.20.1/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8287

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8265

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00351-01