CVE-2022-43548
CVE-2022-43548
Em resumo
Versões do Node.js anteriores a 14.21.1, 16.18.1, 18.12.1 e 19.0.1 permitem que atacantes contornem verificações de segurança e realizem ataques de rebinding de DNS, potencialmente levando à execução não autorizada de comandos ou acesso a serviços internos.
Detalhe técnico
Uma vulnerabilidade de rebinding de DNS existe devido à validação incompleta de endereços IP na verificação IsAllowedHost (correção parcial do CVE-2022-32212). Um atacante pode manipular respostas DNS para redirecionar requisições destinadas a serviços externos para endereços IP internos, contornando validação de host e habilitando ataques SSRF ou injeção de comando contra aplicações Node.js.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A OS Command Injection vulnerability exists in Node.js versions <14.21.1, <16.18.1, <18.12.1, <19.0.1 due to an insufficient IsAllowedHost check that can easily be bypassed because IsIPAddress does not properly check if an IP address is invalid before making DBS requests allowing rebinding attacks.The fix for this issue in https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32212 was incomplete and this new CVE is to complete the fix.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
NodeJS · NodeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://lists.debian.org/debian-lts-announce/2023/02/msg00038.htmlhttps://nodejs.org/en/blog/vulnerability/november-2022-security-releases/https://security.netapp.com/advisory/ntap-20230120-0004/https://security.netapp.com/advisory/ntap-20230427-0007/https://www.debian.org/security/2023/dsa-5326