Plataforma
nodejs
Componente
parse-url
Corregido en
7.0.0
La vulnerabilidad CVE-2022-2216 es una falla de Server-Side Request Forgery (SSRF) descubierta en la biblioteca parse-url de ionicabizau, afectando versiones anteriores a 7.0.0. Esta falla permite a un atacante, bajo ciertas circunstancias, inducir al servidor a realizar solicitudes a recursos internos o externos no deseados. La actualización a la versión 7.0.0 corrige esta vulnerabilidad, mitigando el riesgo de explotación.
Un atacante que explote esta vulnerabilidad SSRF podría acceder a recursos internos que normalmente no serían accesibles desde el exterior. Esto podría incluir información sensible almacenada en bases de datos internas, archivos de configuración o incluso otros servicios de red. La capacidad de realizar solicitudes arbitrarias abre la puerta a la exfiltración de datos, la ejecución de comandos en el servidor (si se combinan con otras vulnerabilidades) y el reconocimiento de la red interna. Aunque parse-url es una biblioteca relativamente pequeña, su uso generalizado en aplicaciones Node.js amplía significativamente el potencial de impacto.
La vulnerabilidad fue publicada el 27 de junio de 2022. No se ha reportado explotación activa en la naturaleza, pero la alta puntuación CVSS (9.4) indica un riesgo significativo. No se ha añadido a la lista KEV de CISA. La disponibilidad de un PoC público podría facilitar la explotación por parte de actores maliciosos.
Applications built with Node.js that utilize the parse-url package, particularly those handling user-supplied URLs without proper validation, are at significant risk. This includes web applications, APIs, and backend services. Projects relying on older versions of Node.js or using outdated dependency management practices are also more vulnerable.
• nodejs / server:
npm list parse-urlIf the output shows a version less than 7.0.0, the system is vulnerable. • nodejs / server:
npm audit parse-urlThis command will identify the vulnerability and suggest an upgrade. • generic web: Inspect application logs for unusual outbound HTTP requests originating from the application server. Look for requests to unexpected internal or external IP addresses or domains.
disclosure
Estado del Exploit
EPSS
0.32% (55% percentil)
Vector CVSS
La mitigación principal para CVE-2022-2216 es actualizar la biblioteca parse-url a la versión 7.0.0 o superior. Si la actualización no es inmediatamente posible debido a problemas de compatibilidad, considere implementar validaciones de entrada estrictas para restringir las URLs que parse-url puede procesar. Implementar una lista blanca de dominios permitidos o utilizar un proxy inverso para filtrar las solicitudes salientes puede ayudar a reducir el riesgo. Monitorear los logs del servidor en busca de solicitudes inusuales o inesperadas también puede ayudar a detectar intentos de explotación.
Actualice la dependencia `parse-url` a la versión 7.0.0 o superior. Esto corrige la vulnerabilidad SSRF. Ejecute `npm install parse-url@latest` o `yarn add parse-url@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-2216 is a critical Server-Side Request Forgery (SSRF) vulnerability affecting versions of the parse-url Node.js package prior to 7.0.0, allowing attackers to make requests to unintended destinations.
You are affected if your project uses parse-url version 7.0.0 or earlier. Check your package.json file and run npm list parse-url to verify.
Upgrade the parse-url package to version 7.0.0 or later using npm install [email protected].
While no confirmed active exploitation campaigns are publicly known, the CRITICAL severity and availability of PoCs suggest a high likelihood of exploitation.
Refer to the official parse-url repository on GitHub for updates and advisories: https://github.com/ionicabizau/parse-url
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.