HIGHCVE-2024-21536CVSS 7.5

CVE-2024-21536：http-proxy-middleware拒绝服务漏洞

Q: 如何修复 http-proxy-middleware 中的 CVE-2024-21536？

您可以使用终端中的命令 `npm list http-proxy-middleware` 检查版本。

Q: 在哪里可以找到 http-proxy-middleware 关于 CVE-2024-21536 的官方安全通告？

是的，有诸如 `npm audit` 和 `yarn audit` 之类的工具，可以扫描您的依赖项是否存在漏洞并提出更新建议。

平台

nodejs

组件

http-proxy-middleware

修复版本

2.0.7

3.0.3

2.0.7

AI Confidence: highNVDEPSS 0.4%已审阅: 2026年4月

在NVD查看

保存

CVE-2024-21536是http-proxy-middleware包中的一个拒绝服务(DoS)漏洞。该漏洞源于micromatch库中的UnhandledPromiseRejection错误，攻击者可以通过向特定路径发送请求来触发此错误，从而导致Node.js进程崩溃，最终使服务器瘫痪。受影响的版本包括2.0.7之前的版本以及3.0.0到3.0.3之间的版本。此问题已在2.0.7版本中得到修复。

影响与攻击场景

CVE-2024-21536 影响 2.0.7 之前的版本以及 3.0.0 到 3.0.3 之间的 http-proxy-middleware 包。这是一种由 micromatch 库引发的 UnhandledPromiseRejection 错误导致的拒绝服务 (DoS) 漏洞。攻击者可以通过向特定路径发送特定请求来使 Node.js 进程和服务器崩溃。这可能导致服务中断以及使用 http-proxy-middleware 的 Web 应用程序不可用。CVSS 严重程度评分为 7.5，表明存在高风险。为了降低这种风险，更新包至关重要。

利用背景

攻击者可以通过向 http-proxy-middleware 处理的特定路由发送一系列精心设计的请求来利用此漏洞。这些请求旨在触发 micromatch 中的 UnhandledPromiseRejection 错误，从而导致 Node.js 进程终止。利用难度取决于服务器配置和易受攻击路由的暴露程度。通过内部网络或通过另一个组件中的漏洞访问的攻击者可以利用此弱点来中断服务。DoS 漏洞的性质意味着目标不是窃取数据，而是简单地使服务不可访问。

哪些人处于风险中翻译中…

Applications and services relying on http-proxy-middleware as a reverse proxy or API gateway are at risk. This includes Node.js applications using this package for request routing and transformation. Shared hosting environments where multiple applications share the same Node.js process are particularly vulnerable, as a single compromised application could impact all others.

检测步骤翻译中…

• nodejs / server:

  ps aux | grep 'node' | grep http-proxy-middleware

• nodejs / server:

  npm list http-proxy-middleware

• nodejs / server: Monitor Node.js process logs for UnhandledPromiseRejection errors related to micromatch. • nodejs / server: Use a process monitoring tool (e.g., PM2, systemd) to automatically restart the Node.js process if it crashes.

攻击时间线

2024-10-19Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

NextGuard91% 仍然脆弱

EPSS

0.35% (58% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件http-proxy-middleware

供应商osv

影响范围修复版本

0.0.1 – 2.0.62.0.7

3.0.0 – 3.0.23.0.3

—2.0.7

弱点分类 (CWE)

CWE-400

时间线

已保留2023-12-22
发布日期2024-10-19
修改日期2026-02-04
EPSS 更新日期2026-04-02

披露后-12天发布补丁

缓解措施和替代方案

减轻 CVE-2024-21536 的方法是将 http-proxy-middleware 包更新到 2.0.7 或更高版本，或 3.0.3 或更高版本。这可以修复 micromatch 中的 UnhandledPromiseRejection 错误，从而使 DoS 漏洞的利用成为可能。为了保护您的系统，建议尽快执行此更新。此外，请监控服务器日志，查找可能表明利用尝试的异常模式。如果无法立即更新，请考虑实施防火墙规则以限制对易受攻击路由的访问，尽管这不是完整的解决方案。

修复方法翻译中…

Actualice el paquete http-proxy-middleware a la versión 2.0.7 o superior, o a la versión 3.0.3 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por un error UnhandledPromiseRejection. Ejecute `npm install http-proxy-middleware@latest` o `yarn add http-proxy-middleware@latest` para obtener la versión más reciente.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2024-21536 是什么 — http-proxy-middleware 中的 Denial of Service (DoS)？

它是一个 Node.js 中间件，允许您创建 HTTP 代理。它通常用于将请求转发到其他服务器，通常用于开发目的或保护 Web 应用程序。

http-proxy-middleware 中的 CVE-2024-21536 是否会影响我？

DoS 意味着攻击者试图阻止合法用户访问服务，通常是通过用流量或请求来过载系统。

如何修复 http-proxy-middleware 中的 CVE-2024-21536？

您可以使用终端中的命令 npm list http-proxy-middleware 检查版本。

CVE-2024-21536 是否正在被积极利用？

如果您无法立即更新，请考虑实施防火墙规则以限制对易受攻击路由的访问，并监控服务器日志。

在哪里可以找到 http-proxy-middleware 关于 CVE-2024-21536 的官方安全通告？

是的，有诸如 npm audit 和 yarn audit 之类的工具，可以扫描您的依赖项是否存在漏洞并提出更新建议。