آسیبپذیری با شناسه CVE-2023-26159 و شدت بالا (7.3) در پکیج follow-redirects کشف شده است. نسخههای آسیبدیده این پکیج، به دلیل مدیریت نادرست URLها توسط تابع ()url.parse، در برابر اعتبارسنجی نادرست ورودی، آسیبپذیر هستند. زمانی که ()new URL خطایی را ارسال میکند، ممکن است این خطا به نحوی تغییر یابد تا نام میزبان (hostname) به طریق اشتباهی تفسیر شود. مهاجم میتواند با بهرهبرداری از این آسیبپذیری، ترافیک را به یک سایت مخرب هدایت کرده و در نتیجه به افشای اطلاعات، حملات فیشینگ یا سایر تهدیدات امنیتی منجر گردد.
محصولات تحت تأثیر
نسخههای قبل از 1.15.4 پکیج follow-redirects آسیبپذیر گزارش شدهاند.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت، نسبت به بهروزرسانی پکیج به نسخه 1.15.4 یا بالاتر، اقدام نمایند.
منبع خبر:
https://security.snyk.io/vuln/SNYK-JS-FOLLOWREDIRECTS-6141137
- 85