Socketio Engine.IO拒绝服务漏洞
Engine.IO是Socket.IO基于传输的跨浏览器/跨设备双向通信层的实现。
一、漏洞分析
公开日期:2022-12-07
漏洞编号:CNVD-2022-85553/CVE-2022-41940
危害等级:高危
漏洞描述:Socketio Engine.IO 3.6.1之前的版本、4.0.0及其之后,6.2.1之前版本存在拒绝服务漏洞,该漏洞源于未对输入的错误消息做正确的处理,攻击者可利用漏洞发起拒绝服务攻击。
二、漏洞影响产品
Socketio Engine.IO <3.6.1
Socketio Engine.IO >=4.0.0,<6.2.1
三、漏洞处置建议
厂商已发布了漏洞修复程序,请及时关注更新:https://github.com/socketio/engine.io/security/advisories/GHSA-r7qp-cfhv-p84w
