Plataforma
nodejs
Componente
hapi
Corregido en
2.2.0
La vulnerabilidad CVE-2014-3742 afecta a las versiones 2.0.x y 2.1.x de hapi, un framework de aplicaciones Node.js. Esta vulnerabilidad permite un ataque de denegación de servicio (DoS) a través de una fuga de descriptores de archivo. La explotación repetida de esta fuga agota los descriptores de archivo del servidor, provocando la terminación del proceso y la interrupción del servicio. Se recomienda actualizar a la versión 2.2.0 o superior.
Un atacante puede aprovechar esta vulnerabilidad para lanzar un ataque DoS contra un servidor hapi. Al explotar repetidamente la fuga de descriptores de archivo, el atacante puede agotar los recursos del sistema, impidiendo que el servidor responda a las solicitudes legítimas. Esto resulta en una interrupción del servicio y una posible pérdida de disponibilidad. La severidad del impacto depende del límite de descriptores de archivo del proceso, siendo sistemas con límites más bajos más susceptibles. No se han identificado otros efectos secundarios ni exploits más allá de la denegación de servicio.
CVE-2014-3742 fue publicado en 2017. No se ha reportado su explotación activa en campañas conocidas. La probabilidad de explotación se considera baja debido a la antigüedad de la vulnerabilidad y la disponibilidad de una solución. No se encuentra en KEV ni tiene una puntuación EPSS asignada. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Estado del Exploit
EPSS
0.73% (73% percentil)
La mitigación principal para CVE-2014-3742 es actualizar a la versión 2.2.0 o superior de hapi. Si la actualización inmediata no es posible debido a problemas de compatibilidad, considere implementar soluciones temporales. Estas podrían incluir el ajuste del límite de descriptores de archivo del proceso para aumentar la capacidad del servidor, aunque esto solo retrasa el problema. Implementar reglas en un firewall de aplicaciones web (WAF) o un proxy inverso para limitar la frecuencia de las solicitudes que podrían desencadenar la fuga de descriptores de archivo también puede ayudar. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando el registro de eventos del servidor en busca de errores relacionados con la gestión de descriptores de archivo.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2014-3742 is a denial-of-service vulnerability in hapi versions 2.0.x and 2.1.x. Repeated requests cause a file descriptor leak, crashing the server. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using hapi versions 2.0.x or 2.1.x. Check your hapi version using npm list -g hapi or node -e 'console.log(require("hapi").version())'. If the version is vulnerable, you need to upgrade.
Upgrade to hapi version 2.2.0 or later. This resolves the file descriptor leak. As a temporary workaround, implement rate limiting or monitor file descriptor usage.
There is no current evidence of active exploitation campaigns targeting CVE-2014-3742. However, systems running vulnerable versions remain at risk.
Refer to the hapi project's release notes and security advisories on their GitHub repository: https://github.com/hapijs/hapi/releases
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.