从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-9266 2. 漏洞类型:URL Redirect/Open Redirect 3. 受影响的组件:Express 4. 受影响的版本范围:>=3.4.5 =3.4.5 < 4.0.0 11. GitHub仓库:https://github.com/expressjs/express 12. 发布包:https://www.npmjs.com/package/express 13. 包管理器:npm 14. 漏洞描述:Express的 方法在 对象中,当路径以双斜杠 开始,并且相对路径以 开始,并且 头设置为用户控制的输入时,易受开放重定向攻击。 15. 重现步骤: - 在Express应用程序代码中,创建一个路径,该路径将用户重定向到通过URL参数提供的位置。 - 在浏览器中,访问Express应用程序路由,查询参数如下: - 浏览器应重定向到 。结果也可以通过在浏览器的开发者工具中检查头部详细信息来观察。 16. 证明概念:提供了一个与上述代码类似的完整重现。 17. 信用:Matvejs Mascenko(发现者) 18. 缓解措施: - 迁移到Express的新版本。 - 应用自己的补丁。 - 利用商业支持合作伙伴,如HeroDevs,获得EOL后的安全支持。