V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
DebianДистрибутивdebian

Llhttp

Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.77278

Распределение по критичности

Критический
0
Высокий
1
Средний
5
Низкий
0
Также сопоставлено как (исходные строки): llhttp

Топ уязвимостей

CVE-2023-30589Парсер llhttp в http модуле Node версии v20.2.0 не строго использует последовательность CRLF для разделения HTTP-запросов. Это может привести к тайному передаче HTTP-запросов (HRS). Символ CR (без LF) достаточно для разделения полей заголовка HTTP в парсере llhttp. Согласно разделу 3 RFC7230, только последовательность CRLF должна разделять каждый заголовок. Это влияет на все активные версии Node.js: v16, v18 и v20.
CVE-2025-23167Уязвимость в HTTP-парсере Node.js 20 позволяет некорректно завершать HTTP/1 заголовки с использованием `\r\n\rX` вместо требуемого `\r\n\r\n`. Эта несогласованность позволяет проводить атаку request smuggling, давая возможность злоумышленникам обойти механизмы контроля доступа на основе прокси и отправлять неавторизованные запросы [1]. Проблема была решена путем обновления `llhttp` до версии 9, которая обеспечивает корректное завершение заголовков. Влияние: * Эта уязвимость затрагивает только пользователей Node.js 20.x до обновления `llhttp` v9. Источники: - [1] https://nodejs.org/en/blog/vulnerability/may-2025-security-releases
CVE-2022-35256Парсер llhttp в модуле http в Node v18.7.0 неправильно обрабатывает поля заголовков, которые не заканчиваются на CLRF. Это может привести к HTTP Request Smuggling.
CVE-2022-32215Парсер llhttp <v14.20.1, <v16.17.1 и <v18.9.1 в модуле http в Node.js неправильно обрабатывает многострочные заголовки Transfer-Encoding. Это может привести к HTTP Request Smuggling (HRS).
CVE-2022-32214Парсер llhttp <v14.20.1, <v16.17.1 и <v18.9.1 в модуле http в Node.js не строго использует последовательность CRLF для разделения HTTP-запросов. Это может привести к HTTP Request Smuggling (HRS).
CVE-2022-32213Парсер llhttp <v14.20.1, <v16.17.1 и <v18.9.1 в модуле http в Node.js неправильно анализирует и проверяет заголовки Transfer-Encoding и может привести к HTTP Request Smuggling (HRS).
Перейти к вендору →Открыть в каталоге с фильтром по продукту →