Llhttp
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
6.5
Макс. EPSS
0.77278
Распределение по критичности
Критический
0
Высокий
0
Средний
6
Низкий
0
Затронутые диапазоны версий
14.0.0–14.20.1< 2.1.4< 2.1.5< 6.0.10
Также сопоставлено как (исходные строки): llhttp,node.js
Топ уязвимостей
CVE-2022-35256Парсер llhttp в модуле http в Node v18.7.0 неправильно обрабатывает поля заголовков, которые не заканчиваются на CLRF. Это может привести к HTTP Request Smuggling.
CVE-2022-32215Парсер llhttp <v14.20.1, <v16.17.1 и <v18.9.1 в модуле http в Node.js неправильно обрабатывает многострочные заголовки Transfer-Encoding. Это может привести к HTTP Request Smuggling (HRS).
CVE-2022-32214Парсер llhttp <v14.20.1, <v16.17.1 и <v18.9.1 в модуле http в Node.js не строго использует последовательность CRLF для разделения HTTP-запросов. Это может привести к HTTP Request Smuggling (HRS).
CVE-2022-32213Парсер llhttp <v14.20.1, <v16.17.1 и <v18.9.1 в модуле http в Node.js неправильно анализирует и проверяет заголовки Transfer-Encoding и может привести к HTTP Request Smuggling (HRS).
CVE-2021-22960Функция parse в llhttp < 2.1.4 и < 6.0.6. игнорирует расширения фрагментов при разборе тела запросов с разделением на фрагменты. Это приводит к HTTP Request Smuggling (HRS) при определенных условиях.
CVE-2021-22959В accepts парсер запрашивает пробел (SP) сразу после имени заголовка перед двоеточием. Это может привести к HTTP Request Smuggling (HRS) в llhttp < v2.1.4 и < v6.0.6.