CVE-2023-45143 in Undiciinfo

Zusammenfassung

von VulDB • 22.05.2026

Undici ist ein HTTP/1.1-Client, der von Grund auf neu für Node.js entwickelt wurde. Vor Version 5.26.2 hat Undici zwar `Authorization`-Header bei Cross-Origin-Weiterleitungen bereinigt, jedoch keine Bereinigung der `Cookie`-Header vorgenommen. Gemäß dem Design sind `Cookie`-Header verbotene Anforderungsheader, was bedeutet, dass sie in Browserumgebungen nicht über `RequestInit.headers` festgelegt werden dürfen. Da Undici Header liberaler handhabt als der Spezifikation vorgeschrieben, bestand eine Diskrepanz zwischen den in der Spezifikation getroffenen Annahmen und der Implementierung von `fetch` in Undici. Dies kann daher zu einer unbeabsichtigten Weitergabe von Cookies an eine Drittanbieter-Website oder einen böswilligen Angreifer führen, der das Ziel der Weiterleitung kontrollieren kann (z. B. einen offenen Redirector), um das Cookie an die Drittanbieter-Website weiterzuleiten. Dies wurde in Version 5.26.2 behoben. Es sind keine bekannten Workarounds verfügbar.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub, Inc.

Reservieren

04.10.2023

Veröffentlichung

25.10.2023

Moderieren

akzeptiert

Eintrag

VDB-242050

CPE

bereit

EPSS

0.01223

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!