CVE-2021-22939

EPSS 14.7%CWE-295

Em resumo

Node.js não validou corretamente uma configuração HTTPS usada de forma incorreta, permitindo conexões com servidores que possuem certificados SSL expirados quando o parâmetro rejectUnauthorized era indefinido. Isso representa um risco de segurança porque certificados expirados devem ser rejeitados para evitar ataques do tipo man-in-the-middle.

Detalhe técnico

Quando o parâmetro rejectUnauthorized na API https do Node.js era configurado como undefined em vez de um valor booleano explícito, a validação de certificado era silenciosamente desabilitada. Um atacante controlando um servidor com certificado expirado poderia interceptar conexões HTTPS se a aplicação dependesse dessa configuração incorreta, pois o erro de validação não era lançado e a conexão era aceita.

Resumo gerado e traduzido por IA a partir da descrição oficial.

If the Node.js https API was used incorrectly and "undefined" was in passed for the "rejectUnauthorized" parameter, no error was returned and connections to servers with an expired certificate would have been accepted.

Produtos afetados

NodeJS · Node

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf https://hackerone.com/reports/1278254 https://lists.debian.org/debian-lts-announce/2022/10/msg00006.html https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/https://security.gentoo.org/glsa/202401-02 https://security.netapp.com/advisory/ntap-20210917-0003/https://www.oracle.com/security-alerts/cpujan2022.html https://www.oracle.com/security-alerts/cpujul2022.html https://www.oracle.com/security-alerts/cpuoct2021.html