CVE-2016-10543

描述

Affected versions of `call` do not validate empty parameters, which may result in a bypass of route validation rules. ## Proof of Concept Routing Scheme: ``` /api/{param}/{param2}/details ``` Triggering Request Path: ``` /api/// ``` ## Recommendation Update to version 3.0.2 or later.

如何修補 CVE-2016-10543

要修補 CVE-2016-10543,請將受影響套件升級到下列已修補版本。

• npm/call—升級至 3.0.2 或更新版本

CVE-2016-10543 正在被利用嗎?

低 — EPSS 為 0.2%,目前沒有觀察到大規模利用活動。

受影響套件(1)

• >= 2.0.1, < 3.0.2

參考連結(4)

• ADVISORYgithub.com/advisories/GHSA-84fv-prrc-5ggr
• ADVISORYnvd.nist.gov/vuln/detail/CVE-2016-10543
• WEBgithub.com/hapijs/hapi/issues/3228
• WEBwww.npmjs.com/advisories/121