Plataforma
nodejs
Componente
mathjs
Corregido en
3.17.0
La vulnerabilidad CVE-2017-1001003 afecta a la biblioteca math.js para Node.js, permitiendo la ejecución remota de código (RCE). Esta falla se debe a la posibilidad de reemplazar propiedades privadas, como el constructor, utilizando caracteres Unicode al crear un objeto. Las versiones afectadas son aquellas anteriores a la 3.17.0. Se recomienda actualizar a la versión 3.17.0 o posterior para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad inyectando código malicioso a través de la manipulación de propiedades privadas en math.js. Al reemplazar el constructor con código arbitrario, el atacante puede ejecutar comandos en el servidor donde se ejecuta la aplicación Node.js. Esto podría resultar en la toma de control completa del sistema, robo de datos sensibles, o la instalación de malware. La severidad crítica de esta vulnerabilidad (CVSS 9.8) indica un alto riesgo de explotación y un impacto significativo en la confidencialidad, integridad y disponibilidad del sistema.
Esta vulnerabilidad fue publicada el 18 de diciembre de 2017. No se ha reportado explotación activa en entornos de producción, pero la naturaleza de la vulnerabilidad (RCE) y su alta puntuación CVSS la convierten en un objetivo atractivo para los atacantes. Es importante aplicar la mitigación lo antes posible para reducir el riesgo de exposición. No se ha añadido a KEV.
Applications built on Node.js that utilize math.js for numerical computations or data processing are at risk. This includes web applications, command-line tools, and server-side scripts. Specifically, applications that accept user-provided data and pass it directly to math.js functions without proper sanitization are particularly vulnerable. Developers using older versions of math.js in production environments should prioritize upgrading to the patched version.
• nodejs / server:
npm list math.jsThis command checks for installed versions of math.js. If the version is less than 3.17.0, the system is vulnerable. • nodejs / server:
grep -r 'Object.prototype.' /path/to/your/appSearch for code that directly modifies Object.prototype. This may indicate attempts to exploit prototype pollution.
• generic web:
Inspect application logs for unusual errors or warnings related to object property access or modification. Unexpected behavior in data processing functions could be a sign of exploitation.
disclosure
patch
Estado del Exploit
EPSS
0.49% (65% percentil)
Vector CVSS
La mitigación principal para CVE-2017-1001003 es actualizar la biblioteca math.js a la versión 3.17.0 o posterior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación estricta de las entradas de usuario y la restricción de los permisos del proceso Node.js. Monitoree los logs de la aplicación en busca de patrones inusuales o intentos de manipulación de objetos. Si se sospecha de una intrusión, aísle el sistema afectado y realice una investigación forense.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2017-1001003 is a critical vulnerability in math.js versions before 3.17.0 that allows attackers to manipulate object properties using Unicode characters, potentially leading to code execution.
You are affected if you are using math.js versions prior to 3.17.0 in your Node.js application. Check your installed version using npm list math.js.
Upgrade to math.js version 3.17.0 or later. This version includes the fix for the prototype pollution vulnerability.
While no confirmed active campaigns are publicly known, prototype pollution vulnerabilities are a recognized attack vector, and public proof-of-concept exploits exist.
Refer to the math.js GitHub repository for information and updates related to this vulnerability: https://github.com/mathjs/mathjs/issues/3014
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.