Plataforma
nodejs
Componente
webcrack
Corregido en
2.14.1
2.14.1
Se ha identificado una vulnerabilidad de acceso arbitrario a archivos en el módulo webcrack, específicamente al procesar código malicioso diseñado para sistemas Windows. Esta falla se activa al combinar la función de desempaquetado de paquetes con la función de guardado. Si el nombre del módulo incluye una secuencia de recorrido de directorios con separadores de ruta de Windows, un atacante puede explotarla para sobrescribir archivos en el sistema host.
La vulnerabilidad de acceso arbitrario a archivos permite a un atacante escribir archivos en ubicaciones arbitrarias dentro del sistema de archivos del host Windows. Esto podría resultar en la ejecución remota de código, la modificación de archivos críticos del sistema, el robo de datos confidenciales o la denegación de servicio. La capacidad de sobrescribir archivos permite a un atacante comprometer la integridad del sistema y potencialmente obtener control total sobre la máquina. La naturaleza del módulo webcrack, aunque no directamente expuesto a la web, podría ser explotado a través de otros puntos de entrada en la aplicación que lo utiliza.
Esta vulnerabilidad fue publicada el 14 de agosto de 2024. No se ha reportado explotación activa en entornos reales, pero la disponibilidad de la descripción técnica y la relativa simplicidad de la explotación sugieren un riesgo moderado. No se ha añadido a KEV ni se ha identificado un EPSS score. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
Organizations and developers using the webcrack Node.js package in their applications, particularly those deploying on Windows systems, are at risk. This includes developers integrating webcrack into custom tools or applications, and those relying on webcrack within larger Node.js projects. Shared hosting environments where multiple users share the same server are also at increased risk if one user's application is compromised.
• nodejs / server:
find / -name "webcrack" -type d -print0 | xargs -0 ls -l• nodejs / server:
ps aux | grep webcrack• generic web:
Inspect web server access logs for requests containing suspicious file paths or path traversal sequences (e.g., ../).
• generic web:
Review web application code for any instances where user-supplied input is used to construct file paths without proper sanitization.
disclosure
Estado del Exploit
EPSS
0.21% (43% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 2.14.1 de webcrack, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la función de desempaquetado de paquetes y validar estrictamente los nombres de los módulos antes de procesarlos. Implementar controles de acceso basados en roles para limitar los privilegios de los usuarios que pueden utilizar esta funcionalidad también puede ayudar a reducir el riesgo. Monitorear los registros del sistema en busca de intentos de escritura de archivos en ubicaciones inesperadas es crucial.
Actualice la versión de webcrack a la versión 2.14.1 o superior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos. Puede actualizar el paquete utilizando npm o yarn.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-43373 is a HIGH severity vulnerability in webcrack allowing attackers to overwrite files on Windows systems by exploiting the unpack bundles and saving features. It affects versions prior to 2.14.1.
You are affected if you are using webcrack versions prior to 2.14.1 and your application processes user-supplied file paths without proper validation.
Upgrade to webcrack version 2.14.1 or later to remediate the vulnerability. If immediate upgrade is not possible, implement input validation and restrict file system access.
There is currently no indication of active exploitation in the wild, but the vulnerability's nature suggests that exploits are likely to emerge.
Refer to the GitHub repository for webcrack: https://github.com/j4k0xb/webcrack
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.