Plateforme
nodejs
Composant
http-proxy-middleware
Corrigé dans
2.0.7
3.0.3
2.0.7
La vulnérabilité CVE-2024-21536 affecte les versions de http-proxy-middleware antérieures à 2.0.7 et celles comprises entre 3.0.0 et 3.0.3. Elle se manifeste par une erreur UnhandledPromiseRejection générée par la bibliothèque micromatch, pouvant entraîner l'arrêt du processus Node.js et la mise hors service du serveur. Cette vulnérabilité DoS (Denial of Service) permet à un attaquant de provoquer une interruption de service.
Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes spécifiques à certains chemins de l'application. Ces requêtes déclenchent une erreur non gérée dans micromatch, ce qui conduit à l'arrêt du processus Node.js hébergeant http-proxy-middleware. L'impact est la perte de disponibilité du service, rendant l'application inaccessible aux utilisateurs légitimes. Bien que l'exploitation ne nécessite pas d'authentification, la complexité de la construction des requêtes spécifiques pourrait limiter l'exploitation à des attaquants ayant une bonne connaissance de l'application et de la bibliothèque micromatch. La vulnérabilité est similaire à d'autres failles DoS exploitables via des erreurs de gestion des promesses.
Cette vulnérabilité a été rendue publique le 19 octobre 2024. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, car l'exploitation nécessite une certaine connaissance de l'application et de la bibliothèque micromatch. Aucun élément sur KEV n'est disponible pour le moment. Un proof-of-concept public pourrait être développé, augmentant ainsi le risque d'exploitation.
Applications and services relying on http-proxy-middleware as a reverse proxy or API gateway are at risk. This includes Node.js applications using this package for request routing and transformation. Shared hosting environments where multiple applications share the same Node.js process are particularly vulnerable, as a single compromised application could impact all others.
• nodejs / server:
ps aux | grep 'node' | grep http-proxy-middleware• nodejs / server:
npm list http-proxy-middleware• nodejs / server: Monitor Node.js process logs for UnhandledPromiseRejection errors related to micromatch.
• nodejs / server: Use a process monitoring tool (e.g., PM2, systemd) to automatically restart the Node.js process if it crashes.
disclosure
Statut de l'Exploit
EPSS
0.35% (percentile 58%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour http-proxy-middleware vers la version 2.0.7 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner la configuration de http-proxy-middleware pour identifier et bloquer les requêtes potentiellement malveillantes. L'utilisation d'un reverse proxy ou d'un pare-feu applicatif web (WAF) peut également aider à atténuer l'impact en filtrant le trafic suspect. En attendant la mise à jour, surveillez attentivement les journaux du serveur pour détecter des erreurs UnhandledPromiseRejection et des arrêts inattendus du processus Node.js. Après la mise à jour, vérifiez que le service fonctionne correctement et qu'il n'y a plus d'erreurs liées à micromatch.
Mettez à jour le paquet http-proxy-middleware à la version 2.0.7 ou supérieure, ou à la version 3.0.3 ou supérieure. Cela corrige la vulnérabilité de déni de service causée par une erreur UnhandledPromiseRejection. Exécutez `npm install http-proxy-middleware@latest` ou `yarn add http-proxy-middleware@latest` pour obtenir la version la plus récente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-21536 is a Denial of Service vulnerability in the http-proxy-middleware package, allowing attackers to crash the Node.js process by triggering an UnhandledPromiseRejection error.
You are affected if you are using http-proxy-middleware versions prior to 2.0.7 or between 3.0.0 and 3.0.3.
Upgrade to version 2.0.7 or 3.0.3. Consider rate limiting and input validation as temporary workarounds if an immediate upgrade is not possible.
There is currently no evidence of active exploitation in the wild.
Refer to the package's repository or npm advisory for the latest information: [https://github.com/lukeed/http-proxy-middleware/issues/1184](https://github.com/lukeed/http-proxy-middleware/issues/1184)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.