Уязвимость метода undici.request клиента HTTP/1.1 Undici программной платформы Node.js связана с непринятием мер по обработке последовательностей CRLF в HTTP-заголовках. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольные HTTP-заголовки
Использование рекомендаций:
Для Undici:
https://github.com/nodejs/undici/commit/a2eff05401358f6595138df963837c24348f2034
https://github.com/nodejs/undici/releases/tag/v5.19.1
Для Node.js:
https://nodejs.org/en/blog/vulnerability/february-2023-security-releases/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-23936
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-23936
Компенсирующие меры:
При невозможности установки обновлений рекомендуется очистить строку headers.host перед передачей в Undici.
| Балл | 6.4 — средняя опасность |