CVE-2024-23340 in node-serverinformazioni

Riassunto

di VulDB • 02/07/2026

@hono/node-server è un adattatore che consente agli utenti di eseguire applicazioni Hono su Node.js. Dalla versione 1.3.0, @hono/node-server utilizza il proprio oggetto Request con un comportamento dell'attributo `url` imprevisto. Nell'API standard, se l'URL contiene ".." (qui definiti "doppio punto"), la stringa URL restituita da Request corrisponde al percorso risolto. Tuttavia, nell'oggetto Request di @hono/node-server i doppi punti non vengono risolti, quindi viene restituito ad esempio `http://localhost/static/.. /foo.txt`. Ciò causa vulnerabilità quando si utilizza `serveStatic`. I moderni browser web e l'ultima versione del comando `curl` risolvono i doppi punti lato client, pertanto questo problema non interessa gli utenti di tali strumenti. Tuttavia, possono verificarsi problemi se la risorsa viene accessibile tramite un client che non effettua tale risoluzione. La versione 1.4.1 include le modifiche necessarie a risolvere il problema. Come soluzione alternativa, evitare l'uso di `serveStatic`.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub, Inc.

Prenotare

15/01/2024

Divulgazione

23/01/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00722

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!