UNKNOWNCVE-2024-29415
ip SSRF 在 isPublic 中的不正确分类
平台
nodejs
组件
ip
Node.js 的 ip 软件包 2.0.1 及更早版本可能允许服务端请求伪造 (SSRF),因为某些 IP 地址(例如 127.1、01200034567、012.1.2.3、000:0:0000::01 和 ::fFFf:127.0.0.1)通过 isPublic 被错误地分类为全局可路由。注意:此问题是由于 CVE-2023-42282 的修复不完整造成的。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。