प्लेटफ़ॉर्म
nodejs
घटक
http-proxy-middleware
में ठीक किया गया
2.0.7
3.0.3
2.0.7
CVE-2024-21536, http-proxy-middleware पैकेज में एक Denial of Service (DoS) भेद्यता है। micromatch द्वारा फेंके गए UnhandledPromiseRejection त्रुटि के कारण हमलावर कुछ रास्तों पर अनुरोध करके Node.js प्रक्रिया को समाप्त कर सकता है और सर्वर को क्रैश कर सकता है। यह भेद्यता 2.0.7 से पहले के http-proxy-middleware संस्करणों और 3.0.0 से 3.0.3 से पहले के संस्करणों को प्रभावित करती है। संस्करण 2.0.7 में इस समस्या को ठीक कर दिया गया है।
CVE-2024-21536 2.0.7 से पहले के संस्करणों और 3.0.0 से 3.0.3 के बीच http-proxy-middleware पैकेज को प्रभावित करता है। यह micromatch लाइब्रेरी द्वारा उत्पन्न UnhandledPromiseRejection त्रुटि के कारण एक सेवा से इनकार (DoS) भेद्यता है। एक हमलावर Node.js प्रक्रिया और सर्वर को क्रैश करने के लिए विशिष्ट पथों पर विशिष्ट अनुरोध भेज सकता है। इससे सेवा में व्यवधान और http-proxy-middleware का उपयोग करने वाले वेब एप्लिकेशन की अनुपलब्धता हो सकती है। CVSS गंभीरता रेटिंग 7.5 है, जो उच्च जोखिम का संकेत देती है। इस जोखिम को कम करने के लिए पैकेज को अपडेट करना महत्वपूर्ण है।
एक हमलावर http-proxy-middleware द्वारा प्रबंधित विशिष्ट मार्गों पर सावधानीपूर्वक तैयार किए गए अनुरोधों की एक श्रृंखला भेजकर इस भेद्यता का शोषण कर सकता है। इन अनुरोधों को micromatch में UnhandledPromiseRejection त्रुटि को ट्रिगर करने के लिए डिज़ाइन किया गया है, जिसके परिणामस्वरूप Node.js प्रक्रिया समाप्त हो जाती है। शोषण की कठिनाई सर्वर कॉन्फ़िगरेशन और कमजोर मार्गों के एक्सपोज़र पर निर्भर करती है। आंतरिक नेटवर्क तक पहुंच रखने या किसी अन्य घटक में भेद्यता के माध्यम से एक हमलावर इस कमजोरी का उपयोग सेवा को बाधित करने के लिए कर सकता है। DoS भेद्यता की प्रकृति का अर्थ है कि लक्ष्य डेटा चुराना नहीं है, बल्कि बस सेवा को दुर्गम बनाना है।
Applications and services relying on http-proxy-middleware as a reverse proxy or API gateway are at risk. This includes Node.js applications using this package for request routing and transformation. Shared hosting environments where multiple applications share the same Node.js process are particularly vulnerable, as a single compromised application could impact all others.
• nodejs / server:
ps aux | grep 'node' | grep http-proxy-middleware• nodejs / server:
npm list http-proxy-middleware• nodejs / server: Monitor Node.js process logs for UnhandledPromiseRejection errors related to micromatch.
• nodejs / server: Use a process monitoring tool (e.g., PM2, systemd) to automatically restart the Node.js process if it crashes.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.35% (58% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-21536 को कम करने का समाधान http-proxy-middleware पैकेज को संस्करण 2.0.7 या बाद के संस्करण में, या संस्करण 3.0.3 या बाद के संस्करण में अपडेट करना है। यह micromatch में UnhandledPromiseRejection त्रुटि को ठीक करता है, जो DoS भेद्यता के शोषण को सक्षम करता है। अपने सिस्टम को सुरक्षित करने के लिए, इस अपडेट को जल्द से जल्द करना उचित है। इसके अतिरिक्त, सर्वर लॉग की निगरानी करें ताकि शोषण के किसी भी प्रयास के संकेत मिल सकें। यदि तत्काल अपडेट संभव नहीं है, तो कमजोर मार्गों तक पहुंच को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को लागू करने पर विचार करें, हालांकि यह एक पूर्ण समाधान नहीं है।
Actualice el paquete http-proxy-middleware a la versión 2.0.7 o superior, o a la versión 3.0.3 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por un error UnhandledPromiseRejection. Ejecute `npm install http-proxy-middleware@latest` o `yarn add http-proxy-middleware@latest` para obtener la versión más reciente.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक Node.js मिडलवेयर है जो आपको HTTP प्रॉक्सी बनाने की अनुमति देता है। इसका उपयोग आमतौर पर विकास उद्देश्यों के लिए या वेब एप्लिकेशन को सुरक्षित करने के लिए अन्य सर्वरों पर अनुरोधों को अग्रेषित करने के लिए किया जाता है।
DoS का अर्थ है कि एक हमलावर आमतौर पर ट्रैफ़िक या अनुरोधों से सिस्टम को ओवरलोड करके वैध उपयोगकर्ताओं के लिए सेवा को दुर्गम बनाने का प्रयास करता है।
आप अपने टर्मिनल में कमांड npm list http-proxy-middleware का उपयोग करके संस्करण की जांच कर सकते हैं।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो कमजोर मार्गों तक पहुंच को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को लागू करने और सर्वर लॉग की निगरानी करने पर विचार करें।
हां, npm audit और yarn audit जैसे उपकरण हैं जो आपके निर्भरता को कमजोरियों के लिए स्कैन कर सकते हैं और अपडेट का सुझाव दे सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।