CVE-2017-16025

描述

Affected versions of `nes` are vulnerable to denial of service when given an invalid `cookie` header, and websocket authentication is set to `cookie`. Submitting an invalid cookie on the websocket upgrade request will cause the node process to throw and exit. ## Recommendation Update to version 6.4.1 or later.

如何修補 CVE-2017-16025

要修補 CVE-2017-16025,請將受影響套件升級到下列已修補版本。

• npm/nes—升級至 6.4.1 或更新版本

CVE-2017-16025 正在被利用嗎?

低 — EPSS 為 0.4%,目前沒有觀察到大規模利用活動。

受影響套件(1)

• from 0, < 6.4.1

參考連結(5)

• ADVISORYgithub.com/advisories/GHSA-3pwh-5mmc-mwrx
• ADVISORYnvd.nist.gov/vuln/detail/CVE-2017-16025
• WEBgithub.com/hapijs/nes/commit/249ba1755ed6977fbc208463c87364bf884ad655
• WEBgithub.com/hapijs/nes/issues/171
• WEB