Plataforma
nodejs
Componente
morgan
Corregido en
1.9.2
1.9.1
La vulnerabilidad CVE-2019-5413 afecta a versiones de morgan anteriores a 1.9.1, un middleware popular para Node.js utilizado para registrar peticiones HTTP. Esta vulnerabilidad permite la inyección de código cuando la entrada del usuario se utiliza en el filtro o se combina con un ataque de contaminación de prototipos. La explotación exitosa puede llevar a la ejecución remota de código en el servidor. Se recomienda actualizar a la versión 1.9.1 o posterior para solucionar este problema.
La inyección de código en morgan representa un riesgo significativo para las aplicaciones Node.js. Un atacante puede manipular la entrada del usuario para inyectar código malicioso que se ejecutará en el contexto del servidor. Esto podría resultar en la toma de control completa del servidor, el robo de datos confidenciales, o la modificación de la aplicación. La vulnerabilidad se agrava por la posibilidad de combinarla con ataques de contaminación de prototipos, lo que facilita la explotación. La ejecución de código arbitrario permite al atacante realizar cualquier acción que el usuario de la aplicación pueda realizar, y potencialmente más, incluyendo el acceso a archivos sensibles y la ejecución de comandos del sistema operativo.
Esta vulnerabilidad ha sido ampliamente publicitada y es considerada de alta severidad. No se ha confirmado la explotación activa en la naturaleza, pero la facilidad de explotación y la disponibilidad de información sobre la vulnerabilidad sugieren que es probable que se esté aprovechando. La vulnerabilidad se encuentra en el repositorio de la NVD (National Vulnerability Database). Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Applications built with Node.js that utilize the morgan module for logging, particularly those that allow user-supplied data to influence the logging format, are at risk. This includes web applications, APIs, and backend services. Shared hosting environments where users can influence application configuration are also particularly vulnerable.
• nodejs / server:
npm list morgan• nodejs / server:
npm audit• nodejs / server: Check package.json for morgan versions < 1.9.1. Review application code for usage of morgan's filter function with unsanitized user input.
disclosure
Estado del Exploit
EPSS
1.95% (83% percentil)
Vector CVSS
La mitigación principal para CVE-2019-5413 es actualizar a la versión 1.9.1 o posterior de morgan. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales. Valide y sanee rigurosamente todas las entradas del usuario antes de utilizarlas en el filtro de morgan. Implemente una política de seguridad de tipos (Type Safety) para prevenir la contaminación de prototipos. Monitoree los logs de la aplicación en busca de patrones sospechosos que puedan indicar un intento de explotación. Si es posible, utilice un firewall de aplicaciones web (WAF) para bloquear peticiones maliciosas.
Actualice el paquete morgan a la versión 1.9.1 o superior. Esto corregirá la vulnerabilidad de inyección de comandos. Ejecute `npm install morgan@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-5413 is a critical code injection vulnerability in the Morgan Node.js module, allowing attackers to execute arbitrary code through prototype pollution if user input is improperly handled.
You are affected if you are using a version of Morgan prior to 1.9.1 and your application allows user input to influence the logging format.
Upgrade the Morgan module to version 1.9.1 or later. If immediate upgrade is not possible, sanitize user input passed to the filter function.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and potential impact warrant immediate attention and remediation.
Refer to the Morgan project's repository and related security advisories for detailed information and updates: https://github.com/expressjs/morgan
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.