Plataforma
nodejs
Componente
jsonpath-plus
Corregido en
10.3.0
10.3.0
La vulnerabilidad CVE-2025-1302 es una falla de Ejecución Remota de Código (RCE) que afecta a versiones de la librería jsonpath-plus anteriores a la 10.3.0. Esta falla permite a un atacante ejecutar código arbitrario en el sistema, aprovechando una sanitización de entrada incompleta. La vulnerabilidad se manifiesta en el uso por defecto del modo 'safe' de la función eval. Se recomienda actualizar a la versión 10.3.0 para mitigar el riesgo.
La gravedad de esta vulnerabilidad radica en su potencial para permitir la ejecución remota de código. Un atacante que explote esta falla puede tomar el control completo de la aplicación Node.js y, potencialmente, del servidor subyacente. Esto podría resultar en la exfiltración de datos sensibles, la modificación de la configuración del sistema, o incluso el uso del servidor como punto de partida para ataques a otros sistemas en la red. La vulnerabilidad es similar en impacto a otras fallas de RCE que involucran la ejecución de código no confiable, aunque la necesidad del modo 'safe' podría requerir una manipulación más específica de la entrada.
CVE-2025-1302 es una continuación de la vulnerabilidad reportada en CVE-2024-21534, indicando una corrección incompleta. La probabilidad de explotación se considera alta (KEV pendiente). Aunque no se han reportado explotaciones activas a la fecha, la disponibilidad de la información sobre la vulnerabilidad y su gravedad la convierten en un objetivo atractivo para los atacantes. La vulnerabilidad fue publicada el 15 de febrero de 2025.
Applications utilizing the jsonpath-plus Node.js package, particularly those handling untrusted user input, are at significant risk. This includes web applications, APIs, and backend services that rely on JSON path expressions for data manipulation. Developers using older versions of Node.js or those with limited security expertise are particularly vulnerable.
• nodejs / server:
npm list jsonpath-plusThis command will list installed versions of jsonpath-plus. Check if the version is less than 10.3.0.
• nodejs / server:
find / -name "node_modules/jsonpath-plus" -printLocate the jsonpath-plus directory within your Node.js project's node_modules folder to identify vulnerable installations.
• nodejs / server:
journalctl -u node -f | grep -i "jsonpath-plus"Monitor Node.js application logs for any errors or unusual activity related to jsonpath-plus.
• generic web:
Review Node.js application code for any instances where user-supplied data is directly passed to jsonpath-plus without proper sanitization.
disclosure
patch
Estado del Exploit
EPSS
88.86% (100% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1302 es actualizar la librería jsonpath-plus a la versión 10.3.0 o superior. Si la actualización no es inmediatamente posible, se recomienda deshabilitar el modo 'safe' de la función eval, aunque esto podría afectar la funcionalidad de la aplicación. Como medida adicional, se puede implementar un firewall de aplicaciones web (WAF) para filtrar las entradas que podrían ser maliciosas. Monitorear los logs de la aplicación en busca de patrones sospechosos, como la ejecución de comandos inesperados, también puede ayudar a detectar y prevenir ataques.
Actualice la dependencia jsonpath-plus a la versión 10.3.0 o superior. Esto solucionará la vulnerabilidad de ejecución remota de código causada por la sanitización incorrecta de las entradas. Ejecute `npm install jsonpath-plus@latest` o `yarn add jsonpath-plus@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1302 is a critical Remote Code Execution vulnerability in the jsonpath-plus Node.js package, allowing attackers to execute arbitrary code due to improper input sanitization. Versions before 10.3.0 are affected.
You are affected if you are using a version of jsonpath-plus prior to 10.3.0 in your Node.js applications. Check your project dependencies immediately.
Upgrade the jsonpath-plus package to version 10.3.0 or later using npm or yarn. If upgrading is not possible, implement strict input validation and sanitization.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation. Monitor your systems closely.
Refer to the jsonpath-plus project's GitHub repository and npm package page for updates and advisories related to CVE-2025-1302.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.