@hono/node-server 无法处理 URL 中的“双点”(CVE-2024-23340)
CVE编号
CVE-2024-23340利用情况
暂无补丁情况
N/A披露时间
2024-01-23漏洞描述
@hono/node-server是一个适配器,允许用户在Node.js上运行Hono应用程序。从v1.3.0开始,@hono/node-server使用自己的Request对象,并具有意外的`url`行为。在标准API中,如果URL包含`..`,即所谓的“双点”,Request返回的URL字符串将是解析后的路径。然而,@hono/node-server的Request对象中的`url`不会解析双点,因此返回`http://localhost/static/.. /foo.txt`。当使用`serveStatic`时,这导致了安全漏洞。现代的Web浏览器和最新的`curl`命令会在客户端解析双点,因此这个问题不会影响使用这些工具的用户。然而,如果被一个不解析双点的客户端访问,可能会出现问题。版本1.4.1包括修复此问题的更改。作为解决方法,请不要使用`serveStatic`。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-22 | 对路径名的限制不恰当(路径遍历) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论