从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-10491 2. 受影响的项目:Express 3. 受影响的版本:<=3.21.4 4. 发布日期:2024年10月29日 5. 修复日期:2024年10月29日 6. 严重性:中等 7. 类别:资源注入 8. 产品:Express 9. 受影响的包:Express 10. 受影响的版本范围:<=3.21.2 11. GitHub仓库:https://github.com/expressjs/express 12. 发布包:https://www.npmjs.com/package/express 13. 包管理器:npm 14. 漏洞描述:在Express的 函数中,当使用未经过净化的数据时,可以允许任意资源注入到 头部。 15. 复现步骤: - 创建一个Express应用程序并配置 来设置查询参数值。 - 使用精心构造的payload来设置多个 头部。 - 注意查询参数如何使用 来加载任意资源。 16. PoC:完整的复现代码可以在指定的链接中找到。 17. 信用:Abze 18. 缓解措施: - 将受影响的应用程序迁移到Express 3。 - 利用商业支持合作伙伴,如HeroDevs,获得EOL后的安全支持。 19. 联系信息: - 电话:+1 877-586-1965 - 邮箱:hello@herodevs.com - 地址:8850 S 700 E #2437 Sandy, UT 84070 这些信息提供了关于CVE-2024-10491漏洞的详细描述和缓解措施。