Er is een nieuw beveiligingslek ontdekt in de on-headers middleware voor node.js, aangeduid als CVE-2025-7339. Dit probleem kan leiden tot ongewenste wijziging van response headers wanneer een array wordt doorgegeven aan response.writeHead(). Gebruikers wordt dringend geadviseerd om te updaten naar versie 1.1.0 om dit lek te verhelpen.
Overzicht
De kwetsbaarheid in on-headers versie <1.1.0 maakt het mogelijk voor een aanvaller om onder bepaalde omstandigheden response headers onbedoeld te wijzigen. Dit komt voor wanneer een array wordt gebruikt in de functie response.writeHead().
Aanbevelingen
- Update onmiddellijk naar
on-headersversie1.1.0om het probleem volledig op te lossen. - Indien een update niet mogelijk is, gebruik dan een object in plaats van een array bij het aanroepen van
response.writeHead().
Bronnen
- GitHub Security Advisory
- Betrokken commit
- OpenJSF Security Advisories
- GitHub Issue 315
- GitHub Issue 15
Vraag en Antwoord
Wat is CVE-2025-7339?
Het betreft een beveiligingslek in de on-headers middleware voor node.js waarbij response headers kunnen worden gewijzigd wanneer een array wordt doorgegeven aan response.writeHead().
Welke systemen zijn kwetsbaar voor CVE-2025-7339?
Versies van on-headers ouder dan 1.1.0 zijn kwetsbaar. Het wordt aanbevolen om te updaten naar de nieuwste versie.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 1.1.0 van on-headers bevat een patch die het probleem oplost.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk response headers aanpassen, wat kan leiden tot beveiligingsproblemen zoals header-injecties of andere ongewenste gedrag.
