Plateforme
nodejs
Composant
growl
Corrigé dans
1.10.0
La vulnérabilité CVE-2017-16042 concerne une injection de commandes dans la bibliothèque growl pour Node.js. Cette faille permet à un attaquant d'exécuter des commandes arbitraires sur le système. Elle affecte les versions de growl antérieures à la version 1.10.0. Une mise à jour vers la version 1.10.0 ou ultérieure est recommandée pour corriger ce problème.
L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter cette faille pour exécuter des commandes système arbitraires avec les privilèges du processus Node.js. Cela peut conduire à la compromission complète du système, incluant la lecture, la modification ou la suppression de données sensibles, l'installation de logiciels malveillants, ou l'utilisation du système comme point de pivot pour attaquer d'autres systèmes sur le réseau. La capacité d'injection de commandes rend cette vulnérabilité particulièrement dangereuse, car elle offre un contrôle direct sur l'environnement d'exécution.
Cette vulnérabilité a été publiée en 2018. Bien qu'il n'y ait pas de rapports d'exploitation active confirmés, la gravité élevée de la vulnérabilité et la facilité d'exploitation potentielle en font une cible attrayante pour les attaquants. Aucun enregistrement sur le KEV de CISA n'est disponible pour le moment. Des preuves de concept publiques sont disponibles, ce qui facilite l'exploitation par des acteurs malveillants.
Applications and systems that rely on the growl Node.js module for notification functionality are at risk. This includes development environments, production servers, and any system where the module is integrated into custom applications. Specifically, systems that process untrusted user input and pass it directly to the growl module are particularly vulnerable.
• nodejs / server:
npm list growlIf the output shows a version less than 1.10.0, the system is vulnerable. • nodejs / server:
find / -name "growl*" -type d -printThis command searches for the growl module directory. Check the version within the directory. • nodejs / server:
npm audit | grep growlThis command checks for known vulnerabilities in the growl module using npm audit.
discovery
disclosure
patch
Statut de l'Exploit
EPSS
0.35% (percentile 57%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque growl vers la version 1.10.0 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner attentivement les entrées utilisateur qui sont passées à la fonction concernée et de les valider ou de les échapper correctement. En attendant la mise à jour, une solution temporaire pourrait consister à restreindre les privilèges du processus Node.js pour limiter l'impact potentiel d'une exploitation réussie. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en testant l'application avec des entrées malveillantes.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2017-16042 is a critical vulnerability in the growl Node.js module that allows attackers to execute arbitrary commands due to insufficient input sanitization.
You are affected if you are using a version of the growl Node.js module prior to 1.10.0. Check your installed version using npm list growl.
Upgrade the growl Node.js module to version 1.10.0 or later using npm install growl@latest.
While no active campaigns have been definitively linked, the vulnerability's ease of exploitation makes it a persistent risk.
Refer to the npm advisory for CVE-2017-16042: https://www.npmjs.com/advisories/791
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.