Plataforma
nodejs
Componente
angular-expressions
Corregido en
1.4.4
1.4.3
CVE-2024-54152 es una vulnerabilidad de Ejecución Remota de Código (RCE) que afecta a la biblioteca angular-expressions. Esta vulnerabilidad permite a un atacante escapar del sandbox y ejecutar código arbitrario en el sistema. Las versiones afectadas son aquellas anteriores a 1.4.3. Se recomienda actualizar a la versión 1.4.3 para mitigar el riesgo.
La vulnerabilidad permite a un atacante inyectar una expresión maliciosa que evade las restricciones de seguridad del sandbox de angular-expressions. Esto resulta en la ejecución de código arbitrario con los privilegios del proceso que ejecuta angular-expressions. Un atacante podría, por ejemplo, tomar control completo del servidor donde se ejecuta la aplicación, robar datos sensibles o instalar malware. La gravedad de la vulnerabilidad radica en la facilidad con la que un atacante puede explotarla, dado que solo requiere la inyección de una expresión maliciosa. Aunque el payload específico para la explotación completa no se ha divulgado, la demostración proporcionada muestra la posibilidad de obtener acceso a la propiedad proto.constructor, lo que indica la seriedad del problema.
Esta vulnerabilidad ha sido publicada el 10 de diciembre de 2024. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la redacción. La descripción de la vulnerabilidad incluye un ejemplo de código vulnerable, lo que sugiere la posibilidad de que se desarrollen y publiquen pruebas de concepto (PoC) en el futuro cercano. Se recomienda monitorear las fuentes de información de seguridad para estar al tanto de cualquier desarrollo en relación con la explotación de esta vulnerabilidad.
Applications built with Node.js that utilize the angular-expressions package, particularly those that dynamically generate expressions from user input, are at significant risk. This includes web applications, APIs, and backend services that rely on this package for expression parsing. Developers who have not recently reviewed their dependencies are also at increased risk.
• nodejs / supply-chain:
npm list angular-expressions• nodejs / supply-chain:
npm audit angular-expressions• generic web:
Inspect application code for instances where user input is directly used within expressions passed to the angular-expressions package. Look for code patterns that construct expressions dynamically from user-controlled data.
disclosure
Estado del Exploit
EPSS
15.82% (95% percentil)
CISA SSVC
La solución principal es actualizar la biblioteca angular-expressions a la versión 1.4.3 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación. Una posible mitigación es restringir las entradas que se pasan a las expresiones de angular-expressions, validando y sanitizando cuidadosamente los datos de entrada para evitar la inyección de código malicioso. Además, se puede considerar el uso de un Web Application Firewall (WAF) para detectar y bloquear intentos de explotación. Finalmente, monitorear los logs de la aplicación en busca de patrones sospechosos relacionados con la ejecución de código no autorizado puede ayudar a identificar y responder a posibles ataques.
Actualice la biblioteca angular-expressions a la versión 1.4.3 o superior. Como alternativa, deshabilite el acceso a `__proto__` globalmente o asegúrese de usar la función con un solo argumento.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-54152 is a critical Remote Code Execution vulnerability in the angular-expressions Node.js package, allowing attackers to execute arbitrary code by crafting malicious expressions.
You are affected if your Node.js application uses angular-expressions versions 1.4.2 or earlier. Check your project dependencies immediately.
Upgrade the angular-expressions package to version 1.4.3 or later using npm or yarn. If upgrading is not possible, implement strict input validation.
While no widespread exploitation has been confirmed, the vulnerability's simplicity makes it a likely target, so vigilance is advised.
Refer to the npm advisory and related security announcements for the latest information: [https://www.npmjs.com/advisories/1732](https://www.npmjs.com/advisories/1732)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.