Plateforme
nodejs
Composant
dns-sync
Corrigé dans
0.1.1
La vulnérabilité CVE-2014-9682 est une injection de commandes critique affectant le module dns-sync avant la version 0.1.1. Un attaquant peut exploiter cette faille pour exécuter des commandes arbitraires sur le système. Cette vulnérabilité est particulièrement préoccupante car elle peut permettre une prise de contrôle complète du serveur. La version corrigée est 0.1.1.
L'impact de cette vulnérabilité est sévère. Un attaquant peut injecter des commandes shell arbitraires en manipulant le premier argument de la fonction resolve API. Cela permet de compromettre le serveur, d'accéder à des données sensibles, de modifier des fichiers système, d'installer des logiciels malveillants, ou d'utiliser le serveur comme point de pivot pour attaquer d'autres systèmes sur le réseau. La capacité d'exécuter des commandes arbitraires offre un contrôle total sur le système affecté.
Cette vulnérabilité a été publiée en 2017, mais reste pertinente en raison de la présence de systèmes hérités utilisant des versions vulnérables de dns-sync. Il n'y a pas d'indications d'une exploitation active à grande échelle, mais la simplicité de l'exploitation et la gravité de l'impact en font une cible potentielle. Aucun PoC public n'est connu, mais la nature de l'injection de commandes rend la création d'un PoC relativement simple.
Applications built with Node.js that rely on the dns-sync module for DNS resolution are at risk. This includes web applications, APIs, and backend services. Specifically, older Node.js projects that haven't been regularly updated are particularly vulnerable, as are those using shared hosting environments where the underlying Node.js dependencies might not be managed by the application developer.
• nodejs / server:
npm list dns-sync | grep -i '0\.\d+.<0\.1\.1'• nodejs / server:
find / -name "dns-sync*" -type d -print• nodejs / server:
journalctl -u node | grep -i "dns-sync"discovery
disclosure
Statut de l'Exploit
EPSS
1.04% (percentile 77%)
La mitigation principale consiste à mettre à jour dns-sync vers la version 0.1.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le module dns-sync ou de restreindre l'accès à la fonction resolve API. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une validation stricte des entrées de la fonction resolve API peut aider à atténuer le risque. Vérifiez après la mise à jour que la fonction resolve API ne permet plus l'injection de commandes en tentant d'injecter des métacaractères shell et en observant le comportement du système.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2014-9682 is a critical vulnerability in dns-sync versions before 0.1.1 that allows attackers to execute arbitrary commands via shell metacharacters in the resolve API function, potentially leading to full system compromise.
You are affected if your Node.js application uses the dns-sync module and is running a version prior to 0.1.1. Check your project dependencies immediately.
Upgrade the dns-sync module to version 0.1.1 or later using npm: npm install dns-sync@latest.
While active exploitation campaigns are not definitively confirmed, the ease of exploitation makes it a potential target. Monitor your systems for suspicious activity.
Refer to the npm advisory and related security reports for details: https://www.npmjs.com/advisories/612
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.