Node.js多个安全漏洞 (CVE-2022-32212,CVE-2022-32223,CVE-2022-32213,CVE-2022-32

时间 : 2022-07-12 18:20:00

近日,网络应急团队监测到Node.js官方发布安全公告,修复了多个存在于 Node.js中的漏洞,其中,2个高危漏洞,4个中危漏洞。漏洞详情如下:

  • CVE-2022-32212 DNS重绑定

漏洞类型:DNS重绑定

风险等级:高危

漏洞描述:该漏洞是由于当提供无效的IPv4地址时,浏览器将向DNS服务器发出DNS请求,为攻击者控制的DNS服务器或MITM提供载体。攻击者可以欺骗DNS响应以执行重新绑定攻击,从而连接到WebSocket调试器,从而允许任意代码执行。

  • CVE-2022-32223 DLL劫持

漏洞类型:DLL劫持

风险等级:高危

漏洞描述:如果受害者在 Windows 机器上具有以下依赖项,则可以利用此漏洞:OpenSSL 已安装且“C:\Program Files\Common Files\SSL\openssl.cnf”存在。每当出现上述条件时,node.exe都会在当前用户目录中搜索providers.dll。之后,node.exe将尝试在 Windows 中按 DLL 搜索顺序进行搜索providers.dll。攻击者可以将恶意文件放置在providers.dll所在路径下利用此漏洞。

  • CVE-2022-32213 Transfer-Encoding头存在解析缺陷

漏洞类型:HTTP 请求走私

风险等级:中危

漏洞描述:该漏洞是由于模块中的解析器未正确解析和验证标头造成的 ,这可能会导致 HTTP 请求走私。

  • CVE-2022-32214 标头字段的限定不当漏洞

漏洞类型:HTTP 请求走私

风险等级:中危

漏洞描述:该漏洞是由于模块中的解析器不严格使用 CRLF 序列来分隔 HTTP 请求造成的,这可能会导致 HTTP 请求走私。

  • CVE-2022-32215 多行传输编码解析不正确

漏洞类型:HTTP 请求走私

风险等级:中危

漏洞描述:该漏洞是由于模块中的解析器无法正确处理多行标头造成的,这可能会导致 HTTP 请求走私。

  • CVE-2022-32222 启动时尝试读取openssl.cnf

漏洞类型:

风险等级:中危

漏洞描述:当 Node.js 在基于 linux 的系统上启动时,它会尝试读取/home/iojs/build/ws/out/Release/obj.target/deps/openssl/openssl.cnf,这通常不存在。在某些共享系统上,攻击者可能能够创建此文件,从而影响其他用户的默认 OpenSSL 配置。

【受影响版本】

  • v14.x <= Node.js < v14.20.0 (LTS)

  • v16.x <= Node.js < v16.16.0 (LTS)

  • v18.x <= Node.js < v18.5.0 (当前)

【安全版本】

  • Node.js v14.20.0 (LTS)

  • Node.js v16.16.0 (LTS)

  • Node.js v18.5.0(当前)

Node.js是一套建立在Google V8 JavaScript引擎之上的网络应用平台,主要用于构建高度可伸缩的应用程序,以及编写能够处理数万条且同时连接到一个物理机的连接代码。


7*24小时技术支持
HKBGP
海外CN2服务器(客服1)
HKBGP
Telegram ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ 【客服】
7*24小时技术支持
HKBGP
TG官方群组
HKBGP
Telegram ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ 【群组】
HKBGP