Plataforma
nodejs
Componente
nodebb
Corregido en
1.15.1
1.18.5
La vulnerabilidad CVE-2021-43786 afecta a NodeBB, una plataforma de foros de código abierto construida sobre Node.js. Una lógica defectuosa en el proceso de verificación de tokens permite a atacantes obtener acceso no autorizado a la API, comprometiendo la seguridad del foro. Esta vulnerabilidad afecta a versiones anteriores a la 1.18.5. Se ha publicado un parche en la versión 1.18.5 y se ofrece un parche alternativo mediante la aplicación de un commit específico.
El impacto de esta vulnerabilidad es crítico, ya que permite a un atacante obtener acceso de maestro a la API de NodeBB. Esto significa que el atacante podría realizar cualquier acción en el foro, incluyendo la creación o modificación de usuarios, la eliminación de contenido, la configuración de permisos y, potencialmente, el acceso a datos sensibles almacenados en la base de datos. La falta de una correcta validación de tokens abre una puerta de entrada para la ejecución remota de código y la toma de control completa del foro. Aunque no se han reportado casos de explotación pública, la alta puntuación CVSS indica un riesgo significativo.
CVE-2021-43786 no figura en el KEV de CISA ni se ha reportado una puntuación EPSS. No se han encontrado públicamente pruebas de concepto (PoCs) disponibles, lo que sugiere que la explotación de esta vulnerabilidad aún no es generalizada. La vulnerabilidad fue publicada el 30 de noviembre de 2021. Se recomienda monitorear activamente las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Organizations and individuals running NodeBB forum software, particularly those utilizing the API for integrations or custom functionality, are at risk. Environments with weak token management practices or those that haven't regularly updated NodeBB are especially vulnerable. Shared hosting environments running NodeBB instances should also be prioritized for patching.
• nodejs / server:
ps aux | grep nodebbCheck the NodeBB process to verify the version running. If it's older than 1.18.5, it's vulnerable.
• generic web:
curl -I https://your-nodebb-instance/api/ | grep -i 'Authorization:'Inspect the API response headers for any unusual or unexpected authorization tokens.
disclosure
patch
Estado del Exploit
EPSS
0.47% (65% percentil)
Vector CVSS
La mitigación principal para CVE-2021-43786 es actualizar NodeBB a la versión 1.18.5 o superior. Si la actualización a la última versión no es posible de inmediato, se puede aplicar un parche alternativo mediante la aplicación del commit 04dab1d550cdebf4c1567bca9a51f8b9ca48a500. Este parche aborda directamente la lógica defectuosa en la verificación de tokens. Se recomienda revisar la configuración de acceso a la API y restringir el acceso solo a usuarios autorizados. Después de la actualización o aplicación del parche, confirme que la verificación de tokens funciona correctamente y que el acceso no autorizado a la API ha sido bloqueado.
Actualice NodeBB a la versión 1.18.5 o superior. Esta versión corrige la lógica incorrecta en la verificación del token API, evitando el bypass de la autenticación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-43786 is a critical vulnerability in NodeBB that allows unauthorized access to the API due to flawed token verification, potentially granting master token privileges.
You are affected if you are running NodeBB versions prior to 1.18.5. Immediate action is required to mitigate the risk.
Upgrade NodeBB to version 1.18.5 or apply cherry-pick commit 04dab1d550cdebf4c1567bca9a51f8b9ca48a500 as a temporary workaround.
There is no current evidence of active exploitation, but the vulnerability's severity warrants immediate attention and patching.
Refer to the NodeBB security advisory page for the latest information and updates: https://community.nodebb.org/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.