Plataforma
nodejs
Componente
node-df
Corregido en
0.1.5
El paquete node-df es vulnerable a una inyección de comandos debido a la falta de sanitización de los nombres de archivo pasados a la opción file. Si este valor es controlado por el usuario, un atacante podría ejecutar comandos arbitrarios en el servidor. Esta vulnerabilidad afecta a todas las versiones hasta la 0.1.4. Actualmente no hay una solución disponible.
Un atacante podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios en el servidor donde se ejecuta el paquete node-df. Esto podría resultar en la toma de control completa del sistema, la exfiltración de datos sensibles o la instalación de malware. La severidad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad del sistema. La falta de sanitización de la entrada del usuario permite la ejecución directa de comandos del sistema operativo, sin validación ni filtrado.
Esta vulnerabilidad ha sido publicada en el NVD el 14 de febrero de 2020. No se ha reportado explotación activa en la naturaleza, pero la alta puntuación CVSS indica un riesgo significativo. No se ha añadido a la lista KEV de CISA. La falta de una solución disponible aumenta la probabilidad de que sea explotada en el futuro.
Applications built on Node.js that utilize the node-df package and allow user-controlled input to influence the file option are at significant risk. This includes applications that process user-uploaded files or handle file system operations based on user requests. Shared hosting environments where multiple applications share the same server are particularly vulnerable.
• nodejs / server:
find /usr/local/lib/node_modules -name "node-df*" -type d -print0 | xargs -0 grep -i 'file = process.argv[2]' • nodejs / server:
npm list node-df | grep -i vulnerable• generic web:
Inspect application code for any usage of node-df where user-supplied input is used to construct filenames passed to the file option.
disclosure
Estado del Exploit
EPSS
3.75% (88% percentil)
Vector CVSS
Dado que no hay una solución disponible, la mitigación principal es evitar el uso del paquete node-df hasta que se publique una versión corregida. Se recomienda utilizar una alternativa que no sea vulnerable a la inyección de comandos. Si es necesario usar node-df, se debe validar y sanitizar estrictamente cualquier entrada del usuario que se pase a la opción file. Además, se puede considerar el uso de un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. La monitorización de los logs del servidor en busca de comandos sospechosos también puede ayudar a detectar y responder a ataques.
Actualice el paquete node-df a una versión posterior a la 0.1.4 que corrija la vulnerabilidad de inyección de código. Consulte las notas de la versión o el repositorio del proyecto para obtener más detalles sobre la solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-15597 is a critical vulnerability in node-df versions up to 0.1.4 that allows attackers to execute arbitrary commands on the server due to insufficient filename sanitization.
You are affected if your Node.js application uses node-df version 0.1.4 or earlier and allows user-controlled input to influence the file option.
Currently, no official fix is available. Mitigate by avoiding node-df, sanitizing user input, and using a WAF.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a potential target.
The vulnerability is documented on the National Vulnerability Database (NVD): https://nvd.nist.gov/vuln/detail/CVE-2019-15597
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.