Joyent Node.js Crumb插件信息泄露漏洞

漏洞信息详情

Joyent Node.js Crumb插件信息泄露漏洞

• CNNVD编号：CNNVD-201410-1226
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-7193
  
• 漏洞类型：
  
  
  访问控制错误
  
• 发布时间：
  
  2014-08-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2021-07-20
  
• 厂        商：
  
  hapijs
• 漏洞来源：
  Marcus Stong from …

Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。Crumb是其中的一个CSRF漏洞利用和测试插件。

Joyent Node.js Crumb插件2.2.0及之前版本中存在安全漏洞，该漏洞源于当hapi路由处理程序启用CORS时，程序没有正确限制令牌访问。远程攻击者可借助特制的Web站点利用该漏洞获取敏感信息，向non-CORS路由发送伪造的请求。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://nodesecurity.io/advisories/crumb_cors_token_disclosure

来源:CONFIRM

链接:https://nodesecurity.io/advisories/crumb_cors_token_disclosure

来源:CONFIRM

链接:https://github.com/hapijs/crumb/commit/5e6d4f5c81677fe9e362837ffd4a02394303db3c