Plataforma
nodejs
Componente
parse-url
Corregido en
8.1.0
La vulnerabilidad CVE-2022-2900 es una falla de Server-Side Request Forgery (SSRF) detectada en la biblioteca parse-url de ionicabizau, afectando versiones anteriores a la 8.1.0. Esta falla permite a atacantes realizar solicitudes no autorizadas a través del servidor, potencialmente exponiendo información sensible o comprometiendo la integridad del sistema. La actualización a la versión 8.1.0 es la solución recomendada, y se ha publicado para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad puede enviar solicitudes a cualquier URL que el servidor tenga permiso para acceder, incluyendo recursos internos que normalmente no son accesibles desde el exterior. Esto podría permitir el acceso a bases de datos, servicios de administración, o incluso otros sistemas internos. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial de daño significativo. Se podría utilizar para obtener credenciales almacenadas en memoria, leer archivos de configuración internos, o incluso ejecutar comandos en el servidor si existen otros puntos de entrada vulnerables. El alcance de la explotación puede extenderse a otros sistemas conectados a la red interna.
Esta vulnerabilidad ha sido ampliamente publicitada y se considera de alto riesgo. No se ha reportado explotación activa a gran escala, pero la facilidad de explotación y la disponibilidad de información sobre la vulnerabilidad la convierten en un objetivo atractivo para los atacantes. No se ha añadido a KEV a la fecha. La publicación de un Proof of Concept (PoC) público aumenta el riesgo de explotación. La vulnerabilidad fue publicada el 14 de septiembre de 2022.
Applications built with Node.js that utilize the parse-url package are at risk. This includes web applications, APIs, and backend services that process URLs from external sources. Projects relying on older versions of parse-url without robust input validation are particularly vulnerable.
• nodejs / server:
npm list parse-url
# Check for versions <= 8.1.0• nodejs / server:
find /usr/local/lib/node_modules /opt/node_modules -name "parse-url" -print0 | xargs -0 grep -i "//internal.example.com"
# Look for internal URLs in the package codedisclosure
Estado del Exploit
EPSS
0.43% (63% percentil)
Vector CVSS
La solución principal es actualizar la biblioteca parse-url a la versión 8.1.0 o superior. Si la actualización no es inmediatamente posible, se pueden implementar mitigaciones temporales. Una opción es restringir las URLs a las que el servidor puede acceder mediante reglas de firewall o proxies inversos. Otra medida es implementar validación estricta de las URLs proporcionadas por el usuario, asegurándose de que solo se permitan URLs seguras y autorizadas. Se recomienda monitorear los logs del servidor en busca de patrones de tráfico inusuales que puedan indicar un intento de explotación. Después de la actualización, confirme la mitigación revisando los logs y realizando pruebas de seguridad.
Actualice la dependencia 'parse-url' a la versión 8.1.0 o superior. Esto corrige la vulnerabilidad SSRF. Ejecute 'npm install parse-url@latest' o 'yarn add parse-url@latest' para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-2900 is a critical Server-Side Request Forgery (SSRF) vulnerability affecting versions of the parse-url Node.js package up to 8.1.0, allowing attackers to make requests to unintended resources.
If your Node.js project uses parse-url version 8.1.0 or earlier, you are potentially affected. Check your dependencies with npm list parse-url.
Upgrade the parse-url package to version 8.1.0 or later using npm install parse-url@latest. Implement input validation as a temporary workaround if upgrading is not immediately possible.
While no confirmed active exploitation campaigns are publicly known, the SSRF nature of the vulnerability makes it a potential target for attackers.
Refer to the parse-url repository on GitHub for updates and advisories: https://github.com/ionicabizau/parse-url
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.