آسیب‌پذیری اعتبارسنجی ورودی در پکیج follow-redirects

آسیب‌پذیری اعتبارسنجی ورودی در پکیج follow-redirects

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2023-26159 و شدت بالا (7.3) در پکیج follow-redirects کشف شده است. نسخه‌های آسیب‌دیده این پکیج، به دلیل مدیریت نادرست URL‌ها توسط تابع ()url.parse، در برابر اعتبارسنجی نادرست ورودی، آسیب‌پذیر هستند. زمانی که ()new URL خطایی را ارسال می‌کند، ممکن است این خطا به نحوی تغییر یابد تا نام میزبان (hostname) به طریق اشتباهی تفسیر شود. مهاجم می‌تواند با بهره‌برداری از این آسیب‌پذیری، ترافیک را به یک سایت مخرب هدایت کرده و در نتیجه به افشای اطلاعات، حملات فیشینگ یا سایر تهدیدات امنیتی منجر گردد.
 

a


محصولات تحت تأثیر
نسخه‌های قبل از 1.15.4 پکیج follow-redirects آسیب‌پذیر گزارش شده‌اند.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت، نسبت به به‌روزرسانی پکیج به نسخه 1.15.4 یا بالاتر، اقدام نمایند.

منبع خبر:


https://security.snyk.io/vuln/SNYK-JS-FOLLOWREDIRECTS-6141137