Plataforma
nodejs
Componente
whereis
Corregido en
0.4.1
La vulnerabilidad CVE-2018-3772 es una inyección de comandos que afecta a versiones de whereis anteriores a 0.4.1. Esta falla permite a un atacante ejecutar comandos arbitrarios en el sistema, comprometiendo la confidencialidad, integridad y disponibilidad de la aplicación. La vulnerabilidad se encuentra presente en versiones de whereis menores a 0.4.1 y se recomienda actualizar a la versión 0.4.1 o posterior para solucionar el problema.
La inyección de comandos en whereis permite a un atacante ejecutar comandos del sistema operativo con los privilegios del proceso whereis. Esto significa que un atacante podría potencialmente leer archivos confidenciales, modificar datos, instalar malware o incluso tomar control completo del sistema. La severidad crítica de esta vulnerabilidad se debe a la facilidad con la que puede ser explotada y el impacto potencial en la seguridad del sistema. Un atacante podría inyectar comandos maliciosos a través de la entrada del usuario que se pasa a whereis, lo que podría llevar a la ejecución de código arbitrario.
Esta vulnerabilidad ha sido ampliamente publicitada y es relativamente fácil de explotar. No se han reportado activamente campañas de explotación a gran escala, pero la disponibilidad de pruebas de concepto públicas aumenta el riesgo de ataques oportunistas. La vulnerabilidad se encuentra en el componente whereis utilizado en aplicaciones Node.js, lo que la convierte en un vector de ataque potencial para aplicaciones web y servicios que dependen de Node.js.
Applications and services built on NodeJS that utilize the whereis package are at risk. This includes applications that dynamically locate files based on user input or configuration data. Projects using older versions of NodeJS or those with inadequate input validation are particularly vulnerable.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq 'node'}• nodejs / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 4294967295" -MaxEvents 10 | Select-String -Pattern "whereis"disclosure
Estado del Exploit
EPSS
0.59% (69% percentil)
Vector CVSS
La mitigación principal para CVE-2018-3772 es actualizar a la versión 0.4.1 o posterior de whereis. Si la actualización no es inmediatamente posible, se recomienda validar y sanitizar cuidadosamente cualquier entrada del usuario que se pase a whereis para evitar la inyección de comandos. Implementar una lista blanca de comandos permitidos puede ayudar a restringir las acciones que whereis puede realizar. Monitorear los registros del sistema en busca de actividad sospechosa relacionada con whereis también puede ayudar a detectar y responder a posibles ataques.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2018-3772 is a critical command injection vulnerability in NodeJS whereis versions before 0.4.1, allowing attackers to execute arbitrary commands.
You are affected if you are using NodeJS whereis versions earlier than 0.4.1 and are passing untrusted input to the whereis utility.
Upgrade to version 0.4.1 or later of the whereis package. Implement input validation as a temporary workaround if upgrading is not immediately possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation makes it a potential target.
Refer to the relevant security advisories and documentation from the NodeJS community and the whereis package maintainers for detailed information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.