Koa — это промежуточное программное обеспечение для Node.js, использующее асинхронные функции ES2017. До версий 3.1.2 и 2.16.4 API `ctx.hostname` Koa выполняет простой анализ заголовка HTTP Host, извлекая все, что находится до первого двоеточия, без проверки соответствия входных данных синтаксису имени хоста RFC 3986. Когда получен неверный заголовок Host, содержащий символ `@`, `ctx.hostname` возвращает `evil[.]com` — значение, контролируемое злоумышленником.
Приложения, использующие `ctx.hostname` для генерации URL-адресов, ссылок для сброса пароля, URL-адресов проверки электронной почты или решений о маршрутизации, уязвимы для атак с внедрением заголовка хоста. Версии 3.1.2 и 2.16.4 устраняют проблему.
Показать оригинальное описание (EN)
Koa is middleware for Node.js using ES2017 async functions. Prior to versions 3.1.2 and 2.16.4, Koa's `ctx.hostname` API performs naive parsing of the HTTP Host header, extracting everything before the first colon without validating the input conforms to RFC 3986 hostname syntax. When a malformed Host header containing a `@` symbol is received, `ctx.hostname` returns `evil[.]com` - an attacker-controlled value. Applications using `ctx.hostname` for URL generation, password reset links, email verification URLs, or routing decisions are vulnerable to Host header injection attacks. Versions 3.1.2 and 2.16.4 fix the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1