1. CVE-Search
  2. CVE-2018-12116
ID CVE-2018-12116
Summary Node.js: All versions prior to Node.js 6.15.0 and 8.14.0: HTTP request splitting: If Node.js can be convinced to use unsanitized user-provided Unicode data for the `path` option of an HTTP request, then data can be provided which will trigger a second, unexpected, and user-defined HTTP request to made to the same server.
References
Vulnerable Configurations
  • cpe:2.3:a:nodejs:node.js:6.0.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.0.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.1.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.1.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.2.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.2.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.2.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.2.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.2.2:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.2.2:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.3.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.3.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.3.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.3.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.4.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.4.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.5.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.5.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.6.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.6.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.7.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.7.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.8.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:6.8.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.0.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.0.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.1.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.1.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.1.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.1.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.1.2:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.1.2:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.1.3:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.1.3:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.1.4:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.1.4:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.2.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.2.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.2.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.2.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.3.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.3.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.4.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.4.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.5.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.5.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.6.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.6.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.7.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.7.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.8.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.8.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.8.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:8.8.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.9.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.9.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.9.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.9.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.9.2:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.9.2:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.9.3:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.9.3:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.9.4:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.9.4:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.9.5:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.9.5:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.10.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.10.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.10.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.10.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.10.2:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.10.2:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.10.3:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.10.3:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.11.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.11.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.11.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.11.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.11.2:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.11.2:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.11.3:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.11.3:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.11.4:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.11.4:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.11.5:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.11.5:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.12.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.12.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.12.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.12.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.12.2:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.12.2:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.12.3:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.12.3:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.13.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.13.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.13.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.13.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.14.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.14.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.14.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.14.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.14.2:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.14.2:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.14.3:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.14.3:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:6.14.4:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:6.14.4:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.2:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.2:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.3:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.3:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.9.4:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.9.4:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.10.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.10.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.1:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.1:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.2:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.2:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.3:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.3:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.11.4:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.11.4:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.12.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.12.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.13.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.13.0:*:*:*:lts:*:*:*
  • cpe:2.3:a:nodejs:node.js:8.14.0:*:*:*:lts:*:*:*
    cpe:2.3:a:nodejs:node.js:8.14.0:*:*:*:lts:*:*:*
  • cpe:2.3:o:suse:suse_linux_enterprise_server:12:*:*:*:*:*:*:*
    cpe:2.3:o:suse:suse_linux_enterprise_server:12:*:*:*:*:*:*:*
  • cpe:2.3:a:suse:suse_enterprise_storage:4:*:*:*:*:*:*:*
    cpe:2.3:a:suse:suse_enterprise_storage:4:*:*:*:*:*:*:*
  • cpe:2.3:o:suse:suse_openstack_cloud:7:*:*:*:*:*:*:*
    cpe:2.3:o:suse:suse_openstack_cloud:7:*:*:*:*:*:*:*
  • cpe:2.3:o:suse:suse_openstack_cloud:8:*:*:*:*:*:*:*
    cpe:2.3:o:suse:suse_openstack_cloud:8:*:*:*:*:*:*:*
  • cpe:2.3:o:suse:suse_linux_enterprise_server:15:*:*:*:*:*:*:*
    cpe:2.3:o:suse:suse_linux_enterprise_server:15:*:*:*:*:*:*:*
CVSS
Base: 5.0 (as of 29-08-2022 - 20:24)
Impact:
Exploitability:
CWE NVD-CWE-Other
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
NONE PARTIAL NONE
cvss-vector via4 AV:N/AC:L/Au:N/C:N/I:P/A:N
redhat via4
advisories
rhsa
id RHSA-2019:1821
rpms
  • rh-nodejs8-nodejs-0:8.16.0-1.el7
  • rh-nodejs8-nodejs-debuginfo-0:8.16.0-1.el7
  • rh-nodejs8-nodejs-devel-0:8.16.0-1.el7
  • rh-nodejs8-nodejs-docs-0:8.16.0-1.el7
  • rh-nodejs8-npm-0:6.4.1-8.16.0.1.el7
refmap via4
confirm https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/
gentoo GLSA-202003-48
Last major update 29-08-2022 - 20:24
Published 28-11-2018 - 17:29
Last modified 29-08-2022 - 20:24
Back to Top