信息发布
CVE-2023-30589
Node.js http模块存在HTTP请求走私漏洞
发布于: 2023年7月2日
漏洞描述
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境,Node.js 的 http 模块用于创建HTTP服务器或客户端。Node.js 受影响版本中,由于 http 模块的 llhttp 解析器未严格使用 CRLF 序列分隔HTTP请求,攻击者可构造仅使用 CR 字符进行分割的 http 请求头进行HTTP请求走私,访问服务器资源或执行未授权操作。
解决建议
"升级Node.js到 16.20.1 或 18.16.1 或 20.3.1 或更高版本"
上海爱菱信息技術有限公司
Shanghai ATLINK CO.,LTD
联系电话:
021-52530555
上海市泰虹路268弄1号楼201室
© 2023 ATLINK Corporation. All Rights Reserved
