Vulnerabilidad en follow-redirects (CVE-2023-26159)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-601
Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
02/01/2024
Última modificación:
23/01/2024
Descripción
Las versiones del paquete follow-redirects anteriores a la 1.15.4 son vulnerables a una validación de entrada incorrecta debido al manejo inadecuado de las URL por parte de la función url.parse(). Cuando la nueva URL() arroja un error, se puede manipular para malinterpretar el nombre de host. Un atacante podría aprovechar esta debilidad para redirigir el tráfico a un sitio malicioso, lo que podría provocar la divulgación de información, ataques de phishing u otras violaciones de seguridad.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:follow-redirects:follow_redirects:*:*:*:*:*:node.js:*:* | 1.15.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/follow-redirects/follow-redirects/issues/235
- https://github.com/follow-redirects/follow-redirects/pull/236
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZZ425BFKNBQ6AK7I5SAM56TWON5OF2XM/
- https://security.snyk.io/vuln/SNYK-JS-FOLLOWREDIRECTS-6141137