UNKNOWNCVE-2021-31597
xmlhttprequest-sslにおける不適切な証明書検証
プラットフォーム
nodejs
コンポーネント
xmlhttprequest-ssl
修正バージョン
1.6.1
Node.js 用の xmlhttprequest-ssl パッケージの 1.6.1 より前のバージョンでは、SSL 証明書の検証がデフォルトで無効になっています。これは、Node.js の https.request 関数内で rejectUnauthorized が (プロパティが存在するが未定義の場合) false と見なされるためです。言い換えれば、証明書が拒否されることはありません。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。