Plataforma
nodejs
Componente
growl
Corregido en
1.10.0
La vulnerabilidad CVE-2017-16042 es una inyección de comandos que afecta a la biblioteca growl para Node.js. Esta falla permite a un atacante ejecutar comandos arbitrarios en el sistema donde se ejecuta la aplicación. Las versiones afectadas son aquellas anteriores a 1.10.0. Se recomienda actualizar a la versión 1.10.0 o superior para solucionar este problema.
Un atacante puede explotar esta vulnerabilidad inyectando comandos maliciosos a través de la entrada no sanitizada de growl. Esto podría resultar en la ejecución de código arbitrario con los privilegios del proceso Node.js, permitiendo el acceso no autorizado a datos sensibles, la modificación de archivos del sistema, o incluso el control total del servidor. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de compromiso del sistema.
Esta vulnerabilidad ha sido ampliamente publicitada y es considerada de alta prioridad. No se ha reportado explotación activa a gran escala, pero la facilidad de explotación y la severidad de la vulnerabilidad la convierten en un objetivo atractivo para los atacantes. La falta de una versión anterior a la versión 1.10.0 disponible públicamente dificulta la verificación de la corrección, pero la actualización sigue siendo la mejor defensa.
Applications and systems that rely on the growl Node.js module for notification functionality are at risk. This includes development environments, production servers, and any system where the module is integrated into custom applications. Specifically, systems that process untrusted user input and pass it directly to the growl module are particularly vulnerable.
• nodejs / server:
npm list growlIf the output shows a version less than 1.10.0, the system is vulnerable. • nodejs / server:
find / -name "growl*" -type d -printThis command searches for the growl module directory. Check the version within the directory. • nodejs / server:
npm audit | grep growlThis command checks for known vulnerabilities in the growl module using npm audit.
discovery
disclosure
patch
Estado del Exploit
EPSS
0.35% (57% percentil)
Vector CVSS
La mitigación principal para CVE-2017-16042 es actualizar la biblioteca growl a la versión 1.10.0 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar validación y sanitización exhaustivas de todas las entradas proporcionadas a la función growl. Aunque no es una solución completa, el uso de un Web Application Firewall (WAF) con reglas que detecten inyecciones de comandos puede proporcionar una capa adicional de protección. Verifique después de la actualización que la nueva versión se ha instalado correctamente y que la vulnerabilidad ya no está presente ejecutando pruebas de seguridad.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2017-16042 is a critical vulnerability in the growl Node.js module that allows attackers to execute arbitrary commands due to insufficient input sanitization.
You are affected if you are using a version of the growl Node.js module prior to 1.10.0. Check your installed version using npm list growl.
Upgrade the growl Node.js module to version 1.10.0 or later using npm install growl@latest.
While no active campaigns have been definitively linked, the vulnerability's ease of exploitation makes it a persistent risk.
Refer to the npm advisory for CVE-2017-16042: https://www.npmjs.com/advisories/791
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.