Plataforma
nodejs
Componente
parse-url
Corregido en
7.0.0
CVE-2022-2218 describe una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en la biblioteca parse-url para Node.js, versiones anteriores a 7.0.0. Esta vulnerabilidad permite a atacantes inyectar scripts maliciosos que se ejecutan en el navegador de usuarios vulnerables. La actualización a la versión 7.0.0 corrige esta falla de seguridad y es altamente recomendada.
La vulnerabilidad XSS almacenada en parse-url permite a un atacante inyectar código JavaScript malicioso que se ejecuta en el contexto del usuario. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Dado que parse-url es una dependencia común en muchas aplicaciones Node.js, el impacto potencial es significativo. Un atacante podría explotar esta vulnerabilidad para comprometer la seguridad de toda la aplicación y acceder a información sensible de los usuarios.
Esta vulnerabilidad fue publicada el 27 de junio de 2022. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. Aunque no se han reportado campañas de explotación activas, la naturaleza de XSS hace que sea un objetivo atractivo para atacantes. La disponibilidad de la biblioteca y su uso generalizado aumentan el riesgo de explotación.
Applications built with Node.js that utilize the parse-url package, particularly those that handle user-supplied URLs or integrate with external services that pass URLs to the application, are at risk. Projects using older versions of Node.js that may have outdated dependencies are also more vulnerable.
• nodejs / server:
npm list parse-url• nodejs / server:
npm audit parse-url• nodejs / server: Check application code for instances where URL components are directly rendered without sanitization.
disclosure
Estado del Exploit
EPSS
0.32% (55% percentil)
Vector CVSS
La mitigación principal para CVE-2022-2218 es actualizar la biblioteca parse-url a la versión 7.0.0 o superior. Si la actualización causa problemas de compatibilidad, considere implementar una validación y sanitización exhaustiva de todas las entradas de URL antes de procesarlas. Además, se recomienda implementar una política de seguridad de contenido (CSP) para limitar los recursos que pueden cargarse en la página web, reduciendo así el impacto potencial de un ataque XSS. Verifique la actualización ejecutando npm update parse-url y confirmando que la versión instalada es 7.0.0 o superior.
Actualice la dependencia `parse-url` a la versión 7.0.0 o superior. Esto solucionará la vulnerabilidad XSS almacenada. Ejecute `npm install parse-url@latest` o `yarn add parse-url@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-2218 is a stored Cross-Site Scripting (XSS) vulnerability in the ionicabizau/parse-url package versions up to 7.0.0, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if your Node.js application uses parse-url version 7.0.0 or earlier. Check your project dependencies using npm list parse-url.
Upgrade the parse-url package to version 7.0.0 or later using npm install [email protected].
While no confirmed active exploitation campaigns are known, the CRITICAL severity and ease of exploitation make it a high-priority target. Monitor for emerging proof-of-concept code.
Refer to the GitHub repository ionicabizau/parse-url for updates and advisories: https://github.com/ionicabizau/parse-url
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.