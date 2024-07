Autor: Depositphotos

Vývojář oblíbeného node-ip (nástroje pro IP adresy v node.js) Fedor Indutny měl posledních pár měsíců starosti kvůli silně nadhodnocenému CVE-2023–42282. Chyba je označená jako kritická s vysokým skóre 9,8. Poku se node-ip zeptáte na adresu například hexadecimálně 0x7F.1... tak dostanete odpověď isPublic, i když decimálně to je 127.1... . To by mohlo být teoreticky zneužito k SSRF útoku (Server Side Request Forgery).





Fedor nesouhlasí s tak vysokým hodnocením chyby a byl bombardován uživateli, kteří pustili například npm audit . Proto přepnul repozitář do archivního módu (RO). Také požádal GitHub o snížení závažnosti chyby. Závažnost byla následně na GitHubu snížena na nízkou. NVD ji má stále jako kritickou. Chyba byla v kódu opravena a také je repozitář opět v normálním režimu.

(zdroj: bleepingcomputer)