Une vulnérabilité critique de redirection ouverte identifiée dans l’API url-parse de Node.js

Les versions 1.4.2 et antérieurs de la fonction parse de l’API url-parse de Node.js analysent incorrectement le paramètre Hostname des URL transmises.

Cette vulnérabilité pourrait permettre à un attaquant distant d’outrepasser les vérifications réalisées côté serveur sur les URL transmises et de rediriger ainsi des utilisateurs vers des sites malveillants.

Il est conseillé de mettre à jour à la dernière version l'API ou de réaliser des vérifications supplémentaires sur les URL transmises par les utilisateurs.

Informations
+

Risques

  • Redirection ouverte
  • Contournement des contrôle effectués au niveau du serveur

Criticité

  • CVSS v3 : 7.4

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Versions 1.4.3 et antérieurs de l'API url-parse de Node.js

CVE

  • CVE-2018-3774

Recommandations
+

Correctifs

  • La version 1.4.3 de l&#039API url-parse corrige cette vulnérabilité.

Solution de contournement

  • Des vérifications supplémentaires peuvent être mises en place sur les URL transmises par les utilisateurs pour limiter l&#039impact de la vulnérabilité.