UNKNOWNCVE-2024-29415
ip SSRF (Server-Side Request Forgery) における isPublic の不適切な分類
プラットフォーム
nodejs
コンポーネント
ip
Node.js 用の ip パッケージの 2.0.1 までのバージョンでは、一部の IP アドレス (127.1、01200034567、012.1.2.3、000:0:0000::01、::fFFf:127.0.0.1 など) が isPublic 経由でグローバルにルーティング可能として不適切に分類されるため、SSRF (Server-Side Request Forgery) が許可される可能性があります。注意: この問題は、CVE-2023-42282 の不完全な修正が原因で発生します。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。