Plateforme
nodejs
Composant
dns-sync
Corrigé dans
0.1.1
La vulnérabilité CVE-2017-16100 est une injection de commandes affectant la bibliothèque dns-sync. Cette faille permet l'exécution de commandes arbitraires sur le système. Elle touche les versions antérieures à 0.1.1. Une mise à jour vers la version 0.1.1 ou l'utilisation d'un résolveur DNS alternatif est recommandée.
Un attaquant peut exploiter cette vulnérabilité en injectant des commandes malveillantes via la méthode resolve() de dns-sync. Cela pourrait permettre de prendre le contrôle complet du système sur lequel dns-sync est exécuté, d'accéder à des données sensibles, de modifier des fichiers ou d'installer des logiciels malveillants. L'impact est critique car l'attaquant peut potentiellement compromettre l'ensemble de l'infrastructure. Cette vulnérabilité est particulièrement préoccupante dans les environnements où dns-sync est utilisé pour résoudre des requêtes DNS provenant de sources non fiables.
Cette vulnérabilité a été rendue publique en juillet 2018. Bien qu'il n'y ait pas de rapports d'exploitation active à grande échelle, la gravité élevée de la vulnérabilité et la disponibilité d'un code d'exploitation potentiel la rendent préoccupante. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information concernant l'exploitation de cette faille.
Applications and systems utilizing the dns-sync package in Node.js environments are at risk, particularly those that accept external input that is processed by the resolve() method without proper sanitization. Development environments using older versions of dns-sync are also vulnerable.
• nodejs / server:
npm list dns-sync• nodejs / server:
npm audit dns-sync• nodejs / server:
grep -r 'dns-sync.resolve(' /path/to/your/projectdisclosure
Statut de l'Exploit
EPSS
5.34% (percentile 90%)
La mitigation principale consiste à mettre à jour dns-sync vers la version 0.1.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à utiliser un résolveur DNS alternatif, plus sécurisé. Il est également recommandé de valider et de désinfecter toutes les entrées fournies à la méthode resolve(). Surveillez les journaux système pour détecter toute activité suspecte liée à l'exécution de commandes non autorisées.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2017-16100 is a critical vulnerability in the dns-sync Node.js package that allows attackers to execute arbitrary commands on the system through the resolve() method.
You are affected if you are using a version of dns-sync prior to 0.1.1 and are not properly sanitizing input to the resolve() method.
Upgrade to version 0.1.1 or later of dns-sync. Alternatively, use a different DNS resolver.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the original vulnerability report and related security advisories for details: [https://nvd.nist.gov/vuln/detail/CVE-2017-16100](https://nvd.nist.gov/vuln/detail/CVE-2017-16100)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.