Plataforma
nodejs
Componente
parse-url
Corregido en
7.0.0
CVE-2022-2217 es una vulnerabilidad de Cross-Site Scripting (XSS) presente en la biblioteca parse-url en el repositorio de GitHub ionicabizau/parse-url hasta la versión 7.0.0. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso en una página web, comprometiendo la seguridad de las aplicaciones que utilizan esta biblioteca. La actualización a la versión 7.0.0 corrige este problema.
La vulnerabilidad XSS en parse-url permite a un atacante ejecutar código JavaScript arbitrario en el contexto del usuario. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web y, en última instancia, el control total de la cuenta del usuario. Dado que parse-url es una biblioteca utilizada en numerosas aplicaciones Node.js, el impacto potencial es significativo. Un atacante podría explotar esta vulnerabilidad para comprometer una amplia gama de aplicaciones web y APIs.
Esta vulnerabilidad fue publicada el 27 de junio de 2022. No se han reportado casos de explotación activa a gran escala, pero la naturaleza de XSS hace que sea un objetivo atractivo para atacantes. La alta puntuación CVSS (9.1) indica un riesgo crítico. No se ha añadido a KEV hasta el momento.
Applications built with Node.js that utilize the ionicabizau/parse-url library for URL parsing are at risk. This includes web applications, APIs, and backend services that process user-supplied URLs without proper sanitization. Projects relying on older versions of the library, particularly those with limited security testing or outdated dependencies, are especially vulnerable.
• nodejs / server:
npm list parse-urlIf the output shows a version less than 7.0.0, the system is vulnerable. • nodejs / server:
npm audit parse-urlThis command will identify if the parse-url package has a vulnerability and suggest an upgrade.
• generic web:
Inspect application logs for unusual URL patterns or JavaScript execution errors that might indicate an attempted XSS attack.
disclosure
patch
Estado del Exploit
EPSS
0.29% (53% percentil)
Vector CVSS
La mitigación principal para CVE-2022-2217 es actualizar la biblioteca parse-url a la versión 7.0.0 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar validación y saneamiento de la entrada del usuario antes de pasarla a parse-url. Además, se pueden utilizar Web Application Firewalls (WAFs) para detectar y bloquear intentos de inyección de código malicioso. Implementar políticas de seguridad de contenido (CSP) también puede ayudar a mitigar el impacto de la vulnerabilidad.
Actualice la dependencia `parse-url` a la versión 7.0.0 o superior. Esto corrige la vulnerabilidad XSS. Ejecute `npm install parse-url@latest` o `yarn add parse-url@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-2217 is a CRITICAL Cross-Site Scripting (XSS) vulnerability in the ionicabizau/parse-url Node.js library, allowing attackers to inject malicious scripts.
You are affected if your project uses ionicabizau/parse-url versions less than or equal to 7.0.0. Check your dependencies with npm list parse-url.
Upgrade to version 7.0.0 or later of the ionicabizau/parse-url library using npm install [email protected].
Public proof-of-concept exploits are available, indicating a moderate risk of exploitation.
Refer to the ionicabizau/parse-url repository on GitHub for the advisory and release notes: https://github.com/ionicabizau/parse-url/releases/tag/7.0.0
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.