漏洞信息详情
Joyent Node.js Crumb插件信息泄露漏洞
- CNNVD编号:CNNVD-201410-1226
- 危害等级: 中危
- CVE编号: CVE-2014-7193
- 漏洞类型: 访问控制错误
- 发布时间: 2014-08-01
- 威胁类型: 远程
- 更新时间: 2021-07-20
- 厂 商: hapijs
- 漏洞来源: Marcus Stong from ...
漏洞简介
Joyent Node.js是美国Joyent公司的一套建立在Google V8 Javascript引擎之上的网络应用平台。Crumb是其中的一个CSRF漏洞利用和测试插件。
Joyent Node.js Crumb插件2.2.0及之前版本中存在安全漏洞,该漏洞源于当hapi路由处理程序启用CORS时,程序没有正确限制令牌访问。远程攻击者可借助特制的Web站点利用该漏洞获取敏感信息,向non-CORS路由发送伪造的请求。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://nodesecurity.io/advisories/crumb_cors_token_disclosure
参考网址
来源:CONFIRM
链接:https://nodesecurity.io/advisories/crumb_cors_token_disclosure
来源:CONFIRM
链接:https://github.com/hapijs/crumb/commit/5e6d4f5c81677fe9e362837ffd4a02394303db3c
受影响实体
补丁
- crumb-3.0.0
- crumb-3.0.0
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论