Podatność w pakiecie @tomphttp/bare-server-node (wersje przed 2.0.2) polega na nieprawidłowej obsłudze żądań HTTP, co może prowadzić do manipulacji ruchem sieciowym użytkowników. Ze względu na krytyczny poziom CVSS 9.8 i brak wymagań uwierzytelnienia, zagrożenie dotyczy każdego systemu z tym pakietem.
▸ Pokaż oryginał (EN)
TOMP Bare Server implements the TompHTTP bare server. A vulnerability in versions prior to 2.0.2 relates to insecure handling of HTTP requests by the @tomphttp/bare-server-node package. This flaw potentially exposes the users of the package to manipulation of their web traffic. The impact may vary depending on the specific usage of the package but it can potentially affect any system where this package is in use. The problem has been patched in version 2.0.2. As of time of publication, no specific workaround strategies have been disclosed.
Podatność sklasyfikowana jako CWE-444 (Inconsistent Interpretation of HTTP Requests, tzw. HTTP Request Smuggling) wynika z niespójnego przetwarzania żądań HTTP przez serwer Bare. Atakujący może wysyłać spreparowane żądania HTTP, które są różnie interpretowane przez kolejne warstwy infrastruktury sieciowej. W efekcie możliwe jest wstrzyknięcie lub modyfikacja ruchu sieciowego kierowanego do innych użytkowników korzystających z serwera proxy.
Atakujący może manipulować ruchem sieciowym użytkowników serwera, potencjalnie przechwytując lub modyfikując przesyłane dane, co prowadzi do naruszenia poufności, integralności oraz dostępności systemu.
Należy zaktualizować pakiet @tomphttp/bare-server-node do wersji 2.0.2, w której problem został naprawiony. Producent nie ujawnił żadnych alternatywnych metod obejścia podatności.
Tomphttp Tomp Bare Server (pakiet @tomphttp/bare-server-node) w wersjach wcześniejszych niż 2.0.2
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTomphttp Tomp Bare Server
APPTomphttp< 2.0.2