Vulnerabilità: CVE-2020-26291

URI.js è una libreria javascript mutazione URL (urijs pacchetto NPM). In URI.js prima versione 1.19.4, il nome host può essere falsificato utilizzando un backslash carattere ( `\`) seguito da un a carattere ( “ @). Se il nome host viene utilizzato nelle decisioni di sicurezza, la decisione potrebbe non essere corretto. A seconda dell’uso biblioteca e attaccante intenti, gli impatti possono includere consentire / block list bypass, attacchi SSRF, reindirizzamenti aperti, o altri comportamenti indesiderati. Per esempio l’URL `https: //expected-example.com \ @ osservato-example.com` verrà erroneamente restituire` osservato-example.com` se si utilizza una versione interessata. versioni con patch correttamente tornano `previsto-example.com`. versioni con patch corrispondono al comportamento di altri parser che implementano le specifiche WHATWG URL, tra cui browser web e Nodo di built-in classe URL. La versione 1.19.4 è patchato contro tutte le varianti conosciute di carico utile. Versione 1.19.3 ha una patch parziale ma è ancora vulnerabile una variante payload.]


https://github.com/medialize/URI.js/security/advisories/GHSA-3329-pjwv-fjpg
https://github.com/medialize/URI.js/security/advisories/GHSA-3329-pjwv-fjpg
https://github.com/medialize/URI.js/commit/b02bf037c99ac9316b77ff8bfd840e90becf1155
https://github.com/medialize/URI.js/commit/b02bf037c99ac9316b77ff8bfd840e90becf1155
https://github.com/medialize/URI.js/releases/tag/v1.19.4
https://github.com/medialize/URI.js/releases/tag/v1.19.4
https://www.npmjs.com/package/urijs
https://www.npmjs.com/package/urijs
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26291


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi