CRITICAL🇬🇧 English

CVE-2024-27922

Niebezpieczna obsługa żądań HTTP w TOMP Bare Server (HTTP Request Smuggling)

CVSS 9.8v3.1pub. 2024-03-21upd. 2026-01-02

Podatność w pakiecie @tomphttp/bare-server-node (wersje przed 2.0.2) polega na nieprawidłowej obsłudze żądań HTTP, co może prowadzić do manipulacji ruchem sieciowym użytkowników. Ze względu na krytyczny poziom CVSS 9.8 i brak wymagań uwierzytelnienia, zagrożenie dotyczy każdego systemu z tym pakietem.

Pokaż oryginał (EN)

TOMP Bare Server implements the TompHTTP bare server. A vulnerability in versions prior to 2.0.2 relates to insecure handling of HTTP requests by the @tomphttp/bare-server-node package. This flaw potentially exposes the users of the package to manipulation of their web traffic. The impact may vary depending on the specific usage of the package but it can potentially affect any system where this package is in use. The problem has been patched in version 2.0.2. As of time of publication, no specific workaround strategies have been disclosed.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-444 (Inconsistent Interpretation of HTTP Requests, tzw. HTTP Request Smuggling) wynika z niespójnego przetwarzania żądań HTTP przez serwer Bare. Atakujący może wysyłać spreparowane żądania HTTP, które są różnie interpretowane przez kolejne warstwy infrastruktury sieciowej. W efekcie możliwe jest wstrzyknięcie lub modyfikacja ruchu sieciowego kierowanego do innych użytkowników korzystających z serwera proxy.

Skutki

Atakujący może manipulować ruchem sieciowym użytkowników serwera, potencjalnie przechwytując lub modyfikując przesyłane dane, co prowadzi do naruszenia poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zaktualizować pakiet @tomphttp/bare-server-node do wersji 2.0.2, w której problem został naprawiony. Producent nie ujawnił żadnych alternatywnych metod obejścia podatności.

Kogo dotyczy

Tomphttp Tomp Bare Server (pakiet @tomphttp/bare-server-node) w wersjach wcześniejszych niż 2.0.2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Tomphttp Tomp Bare Server

    APP
    Tomphttp
    < 2.0.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje