ГлавнаяБаза уязвимостей БДУ → BDU:2024-02800
5.1средняя

BDU:2024-02800

Уязвимость клиента HTTP/1.1 Undici программной платформы Node.js, связанная с недостаточной защитой служебных данных в результате некорректной очистки заголовков Proxy-Authentication, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2024-04-10
Описание

Уязвимость клиента HTTP/1.1 Undici программной платформы Node.js связана с недостаточной защитой служебных данных в результате некорректной очистки заголовков Proxy-Authentication. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Затрагиваемое ПО и версии
Undici (до 5.28.2 включительно)Undici (от 6.0.0 до 6.6.0 включительно)Astra Linux Special Edition (1.8)
Способ устранения

Использование рекомендаций:
https://github.com/nodejs/undici/commit/b9da3e40f1f096a06b4caedbb27c2568730434ef
https://github.com/nodejs/undici/releases/tag/v6.6.1
https://github.com/nodejs/undici/releases/tag/v5.28.3



Для ОС Astra Linux:
обновить пакет node-undici до 5.28.4+dfsg1+~cs23.12.11-2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Оценка CVSS
Балл5.1 — средняя опасность
Источники и патчи
https://github.com/nodejs/undici/commit/b9da3e40f1f096a06b4caedbb27c2568730434efhttps://github.com/nodejs/undici/releases/tag/v6.6.1https://github.com/nodejs/undici/releases/tag/v5.28.3https://github.com/nodejs/undici/security/advisories/GHSA-3787-6prv-h9w3https://vuldb.com/ru/?id.254012https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена