信息发布

CVE-2023-30589

Node.js http模块存在HTTP请求走私漏洞

发布于: 2023年7月2日

漏洞描述:Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境,Node.js 的 http 模块用于创建HTTP服务器或客户端。Node.js 受影响版本中,由于 http 模块的 llhttp 解析器未严格使用 CRLF 序列分隔HTTP请求,攻击者可构造仅使用 CR 字符进行分割的 http 请求头进行HTTP请求走私,访问服务器资源或执行未授权操作。

解决建议

"升级Node.js到 16.20.1 或 18.16.1 或 20.3.1 或更高版本"

上海爱菱信息技術有限公司

Shanghai ATLINK CO.,LTD

联系电话:

021-52530555

上海市泰虹路268弄1号楼201室

© 2023 ATLINK Corporation. All Rights Reserved

沪B2-20040534-4 沪公网安备 31011202005246号