Plataforma
nodejs
Componente
w-zip
Corregido en
1.0.12
CVE-2022-0401 es una vulnerabilidad de Path Traversal descubierta en la biblioteca w-zip para Node.js. Esta falla permite a atacantes acceder a archivos sensibles fuera del directorio previsto, comprometiendo la confidencialidad de los datos. La vulnerabilidad afecta a versiones de w-zip anteriores a 1.0.12 y se recomienda actualizar a la versión 1.0.12 para solucionar el problema.
La vulnerabilidad de Path Traversal en w-zip permite a un atacante, mediante la manipulación de parámetros de entrada, acceder a archivos arbitrarios en el sistema de archivos del servidor. Esto puede incluir archivos de configuración, claves privadas, contraseñas u otros datos confidenciales. El impacto potencial es significativo, ya que un atacante podría obtener acceso no autorizado a información sensible o incluso ejecutar código malicioso en el servidor. Un ataque exitoso podría resultar en la exposición de datos confidenciales, la toma de control del servidor o la interrupción del servicio. La gravedad de la vulnerabilidad se agrava por la amplia adopción de Node.js y la posible presencia de w-zip en aplicaciones críticas.
CVE-2022-0401 fue publicado el 1 de febrero de 2022. No se ha reportado explotación activa en entornos de producción, pero la vulnerabilidad es de alta gravedad y la disponibilidad de una prueba de concepto pública podría aumentar el riesgo de explotación. La biblioteca w-zip es utilizada en una amplia variedad de proyectos Node.js, lo que aumenta la superficie de ataque potencial. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Applications and services that rely on the w-zip Node.js package for ZIP archive manipulation are at risk. This includes web applications, backend services, and any automated processes that handle ZIP files. Projects using older versions of Node.js or those with complex dependency trees are particularly vulnerable, as they may not be aware of the dependency on w-zip.
• nodejs / supply-chain:
npm list w-zipIf the output shows a version less than 1.0.12, the system is vulnerable. • nodejs / supply-chain:
npm audit w-zipThis command will identify vulnerable dependencies and suggest remediation steps.
• generic web:
Inspect your application's code for any instances where the w-zip package is used to process user-supplied file paths. Look for any lack of validation or sanitization of these paths.
disclosure
poc
Estado del Exploit
EPSS
0.68% (72% percentil)
Vector CVSS
La mitigación principal para CVE-2022-0401 es actualizar la biblioteca w-zip a la versión 1.0.12 o superior. Si la actualización no es inmediatamente posible debido a problemas de compatibilidad, considere implementar medidas de seguridad adicionales, como restringir el acceso a los archivos sensibles mediante permisos de archivo adecuados y utilizar un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Además, revise el código de su aplicación para identificar y corregir cualquier otra instancia de manipulación de rutas de archivo que pueda ser vulnerable a ataques de Path Traversal. Después de la actualización, verifique la integridad del sistema de archivos y los permisos de los archivos para confirmar que la vulnerabilidad ha sido resuelta.
Actualice la dependencia w-zip a la versión 1.0.12 o superior. Esto corrige la vulnerabilidad de recorrido de ruta. Ejecute `npm install w-zip@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-0401 is a critical Path Traversal vulnerability in the w-zip Node.js package, allowing attackers to read arbitrary files.
You are affected if you are using w-zip versions less than or equal to 1.0.12. Check your project dependencies immediately.
Upgrade the w-zip package to version 1.0.12 or later using npm or yarn. Implement stricter input validation as a temporary workaround.
Public proof-of-concept exploits are available, and the vulnerability is listed on the CISA KEV catalog, indicating a high likelihood of exploitation.
Refer to the npm advisory: https://www.npmjs.com/advisories/1733
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.