CVE-2016-3956

The CLI in npm before 2.15.1 and 3.x before 3.8.3, as used in Node.js 0.10 before 0.10.44, 0.12 before 0.12.13, 4 before 4.4.2, and 5 before 5.10.0, includes bearer tokens with arbitrary requests, which allows remote HTTP servers to obtain sensitive information by reading Authorization headers.
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:ibm:sdk:*:*:*:*:*:nodejs:*:*
cpe:2.3:a:ibm:sdk:*:*:*:*:*:nodejs:*:*
cpe:2.3:a:ibm:sdk:*:*:*:*:*:nodejs:*:*

Configuration 2 (hide)

OR cpe:2.3:a:nodejs:node.js:0.10.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.2:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.3:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.4:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.5:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.6:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.7:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.8:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.9:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.10:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.11:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.12:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.13:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.14:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.15:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.16:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.16-isaacs-manual:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.17:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.18:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.19:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.20:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.21:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.22:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.23:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.24:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.25:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.26:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.27:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.28:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.29:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.30:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.31:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.32:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.33:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.34:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.35:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.36:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.37:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.38:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.39:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.40:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.10.41:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.12.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.12.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.12.2:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.12.3:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.12.4:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.12.5:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.12.6:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.12.7:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.12.8:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:0.12.9:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.0.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.1.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.1.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.1.2:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.2:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.3:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.4:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.5:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.2.6:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.3.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.3.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.3.1:rc.1:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.3.1:rc.2:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.3.2:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.4.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.4.0:rc.1:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.4.0:rc.2:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.4.0:rc.3:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.4.0:rc.4:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:4.4.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.0.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.1.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.1.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.2.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.3.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.4.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.4.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.5.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.6.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.7.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.7.1:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.8.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.8.1:rc.1:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.9.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:5.9.1:*:*:*:*:*:*:*

Configuration 3 (hide)

OR cpe:2.3:a:npmjs:npm:*:*:*:*:*:*:*:*
cpe:2.3:a:npmjs:npm:*:*:*:*:*:*:*:*

History

15 Jun 2021, 16:30

Type Values Removed Values Added
CPE cpe:2.3:a:npm:npm:3.8.2:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.5:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.7.5:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.6:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.1:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.9:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.5.2:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.1.0:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.6.0:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.3:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.4:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:*:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.7.1:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.5.0:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.4.1:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.7.0:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.5.3:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.10:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.5.1:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.12:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.7.4:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.8.1:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.8:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.1.3:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.4.0:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.7:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.2:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.2.0:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.2.2:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.1.2:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.7.2:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.8.0:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.5.4:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.7.3:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.0:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.1.1:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.2.1:*:*:*:*:*:*:*
cpe:2.3:a:npm:npm:3.3.11:*:*:*:*:*:*:*
cpe:2.3:a:npmjs:npm:*:*:*:*:*:*:*:*
References (CONFIRM) https://github.com/npm/npm/commit/f67ecad59e99a03e5aad8e93cd1a086ae087cb29 - (CONFIRM) https://github.com/npm/npm/commit/f67ecad59e99a03e5aad8e93cd1a086ae087cb29 - Patch, Third Party Advisory
References (CONFIRM) https://github.com/npm/npm/issues/8380 - (CONFIRM) https://github.com/npm/npm/issues/8380 - Third Party Advisory
References (CONFIRM) https://github.com/npm/npm/commit/fea8cc92cee02c720b58f95f14d315507ccad401 - (CONFIRM) https://github.com/npm/npm/commit/fea8cc92cee02c720b58f95f14d315507ccad401 - Patch, Third Party Advisory
References (CONFIRM) http://blog.npmjs.org/post/142036323955/fixing-a-bearer-token-vulnerability - (CONFIRM) http://blog.npmjs.org/post/142036323955/fixing-a-bearer-token-vulnerability - Vendor Advisory

Information

Published : 2016-07-02 14:59

Updated : 2024-02-04 18:53


NVD link : CVE-2016-3956

Mitre link : CVE-2016-3956

CVE.ORG link : CVE-2016-3956


JSON object : View

Products Affected

npmjs

  • npm

nodejs

  • node.js

ibm

  • sdk
CWE
CWE-200

Exposure of Sensitive Information to an Unauthorized Actor