Vývojář oblíbeného node-ip (nástroje pro IP adresy v node.js) Fedor Indutny měl posledních pár měsíců starosti kvůli silně nadhodnocenému CVE-2023–42282. Chyba je označená jako kritická s vysokým skóre 9,8. Poku se node-ip zeptáte na adresu například hexadecimálně 0x7F.1... tak dostanete odpověď isPublic, i když decimálně to je 127.1.... To by mohlo být teoreticky zneužito k SSRF útoku (Server Side Request Forgery).
Fedor nesouhlasí s tak vysokým hodnocením chyby a byl bombardován uživateli, kteří pustili například npm audit. Proto přepnul repozitář do archivního módu (RO). Také požádal GitHub o snížení závažnosti chyby. Závažnost byla následně na GitHubu snížena na nízkou. NVD ji má stále jako kritickou. Chyba byla v kódu opravena a také je repozitář opět v normálním režimu.
(zdroj: bleepingcomputer)
ČLÁNKY DO MAILU