CVE-2022-24999 – express: "qs" prototype poisoning causes the hang of the node process
https://notcve.org/view.php?id=CVE-2022-24999
qs before 6.10.3, as used in Express before 4.17.3 and other products, allows attackers to cause a Node process hang for an Express application because an __ proto__ key can be used. In many typical Express use cases, an unauthenticated remote attacker can place the attack payload in the query string of the URL that is used to visit the application, such as a[__proto__]=b&a[__proto__]&a[length]=100000000. The fix was backported to qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3, and 6.2.4 (and therefore Express 4.17.3, which has "deps: qs@6.9.7" in its release description, is not vulnerable). qs anterior a 6.10.3, como se usa en Express anterior a 4.17.3 y otros productos, permite a los atacantes provocar que un proceso de Nodo se cuelgue para una aplicación Express porque se puede usar una clave __ proto__. En muchos casos de uso típicos de Express, un atacante remoto no autenticado puede colocar el payload del ataque en la cadena de consulta de la URL que se utiliza para visitar la aplicación, como a[__proto__]=b&a[__proto__]&a[length] =100000000. La solución se respaldó a qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3 y 6.2.4 (y por lo tanto a Express 4.17.3, que tiene "deps : qs@6.9.7" en la descripción de su versión, no es vulnerable). • https://github.com/n8tz/CVE-2022-24999 https://github.com/expressjs/express/releases/tag/4.17.3 https://github.com/ljharb/qs/pull/428 https://lists.debian.org/debian-lts-announce/2023/01/msg00039.html https://security.netapp.com/advisory/ntap-20230908-0005 https://access.redhat.com/security/cve/CVE-2022-24999 https://bugzilla.redhat.com/show_bug.cgi?id=2150323 • CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •
CVE-2014-10064
https://notcve.org/view.php?id=CVE-2014-10064
The qs module before 1.0.0 does not have an option or default for specifying object depth and when parsing a string representing a deeply nested object will block the event loop for long periods of time. An attacker could leverage this to cause a temporary denial-of-service condition, for example, in a web application, other requests would not be processed while this blocking is occurring. El módulo qs en versiones anteriores a la 1.0.0 no tiene una opción o configuración por defecto para especificar la profundidad del objeto y, al analizar una cadena que representa un objeto profundamente anidado, bloqueará el bucle de eventos durante largos períodos de tiempo. Un atacante podría aprovecharse de esto para provocar una condición de denegación de servicio (DoS), por ejemplo, en una aplicación web; otras peticiones no se procesarían mientras ocurre este bloqueo. • https://nodesecurity.io/advisories/28 • CWE-399: Resource Management Errors CWE-400: Uncontrolled Resource Consumption •
CVE-2017-1000048 – nodejs-qs: Prototype override protection bypass
https://notcve.org/view.php?id=CVE-2017-1000048
the web framework using ljharb's qs module older than v6.3.2, v6.2.3, v6.1.2, and v6.0.4 is vulnerable to a DoS. A malicious user can send a evil request to cause the web framework crash. El framework web utilizando el módulo qs anterior a las versiones v6.3.2, v6.2.3, v6.1.2 y v6.0.4 de ljharb, es vulnerable a una DoS. Un usuario malicioso puede enviar una petición malintencionada para causar un bloqueo del framework web. It was found that ljharb's qs module for Node.js did not properly parse query strings. • https://access.redhat.com/errata/RHSA-2017:2672 https://github.com/ljharb/qs/issues/200 https://access.redhat.com/security/cve/CVE-2017-1000048 https://bugzilla.redhat.com/show_bug.cgi?id=1427872 • CWE-20: Improper Input Validation •