CVE-2023-45143 in Undici
Zusammenfassung
von VulDB • 22.05.2026
Undici ist ein HTTP/1.1-Client, der von Grund auf neu für Node.js entwickelt wurde. Vor Version 5.26.2 hat Undici zwar `Authorization`-Header bei Cross-Origin-Weiterleitungen bereinigt, jedoch keine Bereinigung der `Cookie`-Header vorgenommen. Gemäß dem Design sind `Cookie`-Header verbotene Anforderungsheader, was bedeutet, dass sie in Browserumgebungen nicht über `RequestInit.headers` festgelegt werden dürfen. Da Undici Header liberaler handhabt als der Spezifikation vorgeschrieben, bestand eine Diskrepanz zwischen den in der Spezifikation getroffenen Annahmen und der Implementierung von `fetch` in Undici. Dies kann daher zu einer unbeabsichtigten Weitergabe von Cookies an eine Drittanbieter-Website oder einen böswilligen Angreifer führen, der das Ziel der Weiterleitung kontrollieren kann (z. B. einen offenen Redirector), um das Cookie an die Drittanbieter-Website weiterzuleiten. Dies wurde in Version 5.26.2 behoben. Es sind keine bekannten Workarounds verfügbar.
If you want to get best quality of vulnerability data, you may have to visit VulDB.