Vulnerabilidad en Node.js (CVE-2023-49803)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

11/12/2023

Última modificación:

14/12/2023

Descripción

@koa/cors npm proporciona Cross-Origin Resource Sharing (CORS) para koa, un framework web para Node.js. Antes de la versión 5.0.0, el middleware funciona de manera que si no se proporciona un origen permitido, devolverá un encabezado "Access-Control-Allow-Origin" con el valor del origen de la solicitud. Este comportamiento desactiva por completo uno de los elementos más importantes de los navegadores: la Política del Mismo Origen (SOP), lo que podría causar una amenaza de seguridad muy grave para los usuarios de este middleware. Si se espera tal comportamiento, por ejemplo, cuando el middleware se utiliza exclusivamente para prototipos y no para aplicaciones de producción, se debe enfatizar mucho en la documentación junto con una indicación de los riesgos asociados con dicho comportamiento, ya que es posible que muchos usuarios no lo sepan. La versión 5.0.0 corrige esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno