Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - ノード用の Express.js 最小限の Web フレームワーク。 4.19.0 より前の Express.js のバージョン、 5.0 のすべてのプレリリースアルファおよびベータバージョンは、無効な形式の URL を使用するオープンリダイレクトの脆弱性の影響を受けます。Express のユーザーがユーザー提供の URL を使用してリダイレクトを実行する場合、Express はコンテンツを「location」ヘッダーに渡す前にコンテンツのエンコード（「encodeurl」を使用）（https://github.com/pillarjs/encodeurl）を実行します。これにより、Expressアプリケーションの一般的なリダイレクト許可リストの実装により、不正な形式のURLが予期しない方法で評価され、適切に実装された許可リストのバイパスを介してオープンリダイレクトが発生する可能性があります。影響を受ける主なメソッドは「res.location()」ですが、これは「res.redirect()」内からも呼び出されます。この脆弱性は 4.19.2 および 5.0.0-beta.3 で修正されています。 （CVE-2024-29041）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2024-29041

medium Nessus プラグイン ID 227633

バージョン 1.3