ГлавнаяБаза уязвимостей БДУ → BDU:2024-05779
6.4средняя

BDU:2024-05779

Уязвимость шаблона для разработки веб-приложений Express.js для Node.Js, связанная с перенаправлением URL-адреса на ненадежный сайт, используемых входящим компонентом, позволяющая нарушителю переадресовывать пользователя на произвольные адреса URL
Опубликовано: 2024-07-29
Описание

Уязвимость шаблона для разработки веб-приложений Express.js для Node.Js связана с открытым перенаправлением с использованием неправильно сформированных URL-адресов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, переадресовывать пользователя на произвольные адреса URL

Затрагиваемое ПО и версии
РЕД ОС (7.3)ExpressLRS (до 4.19.2)ExpressLRS (до 5.0.0-beta.3)
Способ устранения

Для Express:
https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2dd
https://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94
https://github.com/expressjs/express/pull/5539
https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vc

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://github.com/expressjs/express/commit/0867302ddbde0e9463d0564fea5861feb708c2ddhttps://github.com/expressjs/express/commit/0b746953c4bd8e377123527db11f9cd866e39f94https://github.com/expressjs/express/pull/5539https://github.com/expressjs/express/security/advisories/GHSA-rv95-896h-c2vchttps://redos.red-soft.ru/support/secure/
Проверьте безопасность своего сайта и почты → Полная проверка домена