← voltar
CVE-2021-22931

CVE-2021-22931

EPSS 22.0%CWE-170
Em resumo

A biblioteca DNS do Node.js não valida corretamente os nomes de domínio retornados pelos servidores DNS, permitindo que atacantes injetem dados maliciosos que podem derrubar a aplicação, exibir websites errados ou executar código prejudicial em navegadores.

Detalhe técnico

A biblioteca dns não valida hostnames retornados de consultas DNS, permitindo ataques de injeção de respostas DNS. Atacantes podem explorar isso via manipulação DNS em nível de rede ou servidores DNS comprometidos para disparar payloads XSS, RCE ou negação de serviço na aplicação dependendo de como ela utiliza os dados de hostname retornados.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Node.js before 16.6.0, 14.17.4, and 12.22.4 is vulnerable to Remote Code Execution, XSS, Application crashes due to missing input validation of host names returned by Domain Name Servers in Node.js dns library which can lead to output of wrong hostnames (leading to Domain Hijacking) and injection vulnerabilities in applications using the library.
Produtos afetados
NodeJS · Node

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdfhttps://hackerone.com/reports/1178337https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/https://security.gentoo.org/glsa/202401-02https://security.netapp.com/advisory/ntap-20210923-0001/https://security.netapp.com/advisory/ntap-20211022-0003/https://www.oracle.com/security-alerts/cpujan2022.htmlhttps://www.oracle.com/security-alerts/cpujul2022.htmlhttps://www.oracle.com/security-alerts/cpuoct2021.html