中危 Node.js http模块存在HTTP请求走私漏洞(CVE-2023-30589)

CVE编号

CVE-2023-30589

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-07-01

漏洞描述

Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境，Node.js 的 http 模块用于创建HTTP服务器或客户端。 Node.js 受影响版本中，由于 http 模块的 llhttp 解析器未严格使用 CRLF 序列分隔HTTP请求，攻击者可构造仅使用 CR 字符进行分割的 http 请求头进行HTTP请求走私，访问服务器资源或执行未授权操作。

解决建议

"升级Node.js到 16.20.1 或 18.16.1 或 20.3.1 或更高版本"

参考链接
https://hackerone.com/reports/2001873
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://security.netapp.com/advisory/ntap-20230803-0009/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	nodejs	node.js	16.0.0	-
	运行在以下环境
	应用	nodejs	node.js	18.0.0	-
	运行在以下环境
	应用	nodejs	node.js	20.0.0	-
	运行在以下环境
	应用	nodejs	node.js	20.2.0	-
	运行在以下环境
	系统	alpine_3.16	openjdk17	*		Up to (excluding) 17.0.9_p8-r0
	运行在以下环境
	系统	alpine_3.17	openjdk17	*		Up to (excluding) 17.0.9_p8-r0
	运行在以下环境
	系统	alpine_3.18	openjdk17	*		Up to (excluding) 17.0.9_p8-r0
	运行在以下环境
	系统	alpine_edge	openjdk17	*		Up to (excluding) 17.0.9_p8-r0
	运行在以下环境
	系统	amazon_2023	nodejs	*		Up to (excluding) 8.19.2-1.18.12.1.1.amzn2023.0.7
	运行在以下环境
	系统	anolis_os_23	noslate-anode-docs	*		Up to (excluding) 9.6.7-1.18.17.1.1
	运行在以下环境
	系统	anolis_os_8	nodejs-devel	*		Up to (excluding) 18.16.1-1
	运行在以下环境
	系统	debian_10	nodejs	*		Up to (excluding) 10.24.0~dfsg-1~deb10u1
	运行在以下环境
	系统	debian_11	nodejs	*		Up to (including) 12.22.12~dfsg-1~deb11u4
	运行在以下环境
	系统	debian_12	nodejs	*		Up to (including) 18.13.0+dfsg1-1
	运行在以下环境
	系统	debian_sid	nodejs	*		Up to (including) 18.13.0+dfsg1-1
	运行在以下环境
	系统	fedora_37	llhttp-devel	*		Up to (excluding) 18.16.1-1.fc37
	运行在以下环境
	系统	fedora_38	llhttp-devel	*		Up to (excluding) 18.16.1-1.fc38
	运行在以下环境
	系统	fedora_39	llhttp-devel	*		Up to (excluding) 8.1.1-1.fc39
	运行在以下环境
	系统	fedora_EPEL_9	llhttp-devel	*		Up to (excluding) 8.1.1-1.el9
	运行在以下环境
	系统	opensuse_Leap_15.4	nodejs12-docs	*		Up to (excluding) 16.20.1-150400.3.21.1
	运行在以下环境
	系统	opensuse_Leap_15.5	nodejs18	*		Up to (excluding) 18.16.1-150400.9.9.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 18.16.1-1.module+el8.8.0+21140+54ee8b93
	运行在以下环境
	系统	oracle_9	oraclelinux-release	*		Up to (excluding) 18.16.1-1.module+el9.2.0+21133+486db26c
	运行在以下环境
	系统	redhat_9	nodejs-libs-debuginfo	*		Up to (excluding) 16.20.1-1.el9_2
	运行在以下环境
	系统	unionos_e	nodejs	*		Up to (excluding) nodejs-12.22.11-4.uel20

阿里云评分 6.2

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
NVD-CWE-Other

Exp相关链接

- avd.aliyun.com