Les versions 1.4.2 et antérieurs de la fonction parse de l’API url-parse de Node.js analysent incorrectement le paramètre Hostname des URL transmises.
Cette vulnérabilité pourrait permettre à un attaquant distant d’outrepasser les vérifications réalisées côté serveur sur les URL transmises et de rediriger ainsi des utilisateurs vers des sites malveillants.
Il est conseillé de mettre à jour à la dernière version l'API ou de réaliser des vérifications supplémentaires sur les URL transmises par les utilisateurs.
Risques
- Redirection ouverte
- Contournement des contrôle effectués au niveau du serveur
Criticité
- CVSS v3 : 7.4
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Versions 1.4.3 et antérieurs de l'API url-parse de Node.js
CVE
- CVE-2018-3774
Correctifs
- La version 1.4.3 de l'API url-parse corrige cette vulnérabilité.
Solution de contournement
- Des vérifications supplémentaires peuvent être mises en place sur les URL transmises par les utilisateurs pour limiter l'impact de la vulnérabilité.