漏洞信息
# socket.io 中未处理的 'error' 事件
## 概述
Socket.IO 是一个开源的实时双向事件通信框架。一个精心构造的 Socket.IO 数据包可以触发 Socket.IO 服务器上的未捕获异常,从而导致 Node.js 进程终止。该问题已在 `socket.io@4.6.2` 版本中修复(2023年5月发布)。
## 影响版本
- `socket.io@4.6.2` 之前的版本
- `2.x` 分支中的版本在 `d30630ba10` 提交前存在漏洞
## 细节
恶意构造的 Socket.IO 数据包能够导致一个未捕获的异常,从而使运行在 Node.js 上的 Socket.IO 服务器进程崩溃。该问题通过提交 `15af22fc22` 解决,并已包含在 `socket.io@4.6.2` 版本中。此外,该修复也已反向移植到 `2.x` 分支中的 `d30630ba10` 提交。
## 影响
- 未升级的用户会面临 Socket.IO 服务器进程意外终止的风险。
- 提供的临时解决办法是在 "error" 事件上添加一个监听器,以捕获这些错误。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞涉及到Socket.IO服务器,当接收到特别构造的Socket.IO数据包时,可能会触发未捕获的异常,进而导致Node.js进程崩溃。这是一个服务器端的漏洞,因为攻击者可以通过发送恶意的数据包来利用此漏洞,影响服务器的正常运行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unhandled 'error' event in socket.io
漏洞描述信息
Socket.IO is an open source, real-time, bidirectional, event-based, communication framework. A specially crafted Socket.IO packet can trigger an uncaught exception on the Socket.IO server, thus killing the Node.js process. This issue is fixed by commit `15af22fc22` which has been included in `socket.io@4.6.2` (released in May 2023). The fix was backported in the 2.x branch as well with commit `d30630ba10`. Users are advised to upgrade. Users unable to upgrade may attach a listener for the "error" event to catch these errors.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
漏洞类别
输入验证不恰当
漏洞标题
Socket.IO 安全漏洞
漏洞描述信息
Socket.IO是Socket.IO公司的一个面向实时web 应用的 JavaScript 库。 Socket.IO存在安全漏洞,该漏洞源于特制的Socket.IO数据包可能会在服务器上触发未捕获的异常,从而终止Node.js进程。
CVSS信息
N/A
漏洞类别
其他