Błąd w Node.js HTTP powodujący nieobsługiwany TypeError przy nagłówku __proto__
Node.js ma krytyczny błąd HTTP powodujący TypeError przy nagłówku __proto__. Sprawdź zalecenia i zabezpiecz swoje serwery Node.js.
- CVSS
- 7.5 HIGH
- EPSS
- 97.75%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W Node.js wykryto błąd w obsłudze żądań HTTP, który wywołuje nieobsługiwany TypeError, gdy żądanie zawiera nagłówek o nazwie __proto__ i aplikacja odwołuje się do req.headersDistinct. Błąd ten występuje w wersjach 20.x, 22.x, 24.x oraz 25.x Node.js.
Wpływ biznesowy
Ten błąd może powodować awarie serwera HTTP Node.js, gdy otrzyma on specjalnie spreparowane żądanie z nagłówkiem __proto__. Ponieważ wyjątek jest rzucany synchronicznie i nie może być przechwycony przez standardowe mechanizmy obsługi błędów, może to prowadzić do przerwania działania aplikacji i potencjalnych problemów z dostępnością usług.
Rekomendowane działania administratora
Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji i poprawek od dostawcy Node.js dla wersji 20.x, 22.x, 24.x i 25.x. W międzyczasie warto ograniczyć ekspozycję serwera na nieznane lub podejrzane żądania HTTP, monitorować logi pod kątem wystąpienia nagłówków __proto__ oraz rozważyć implementację dodatkowych mechanizmów walidacji nagłówków w aplikacji. Priorytetowo traktuj aktualizacje i testy stabilności po wdrożeniu poprawek.