Уязвимость функции saveRequestFiles фреймворка Fastify программной платформы Node.js связана с использованием неверных токенов аутентификации в результате неограниченного распределения ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированного запроса
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному обеспечению;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания попыток эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к устройствам из внешних сетей (Интернет).
Использование рекомендаций производителя:
https://github.com/fastify/fastify-multipart/security/advisories/GHSA-27c6-mcxv-x3fh
| Балл | 7.8 — высокая опасность |