Plateforme
nodejs
Composant
debug
Corrigé dans
2.6.9
La vulnérabilité CVE-2017-16137 est une faille de type déni de service (DoS) affectant la bibliothèque debug pour Node.js. Elle est due à une utilisation non sécurisée des expressions régulières lors du traitement des entrées utilisateur non fiables via le formatteur o. L'exploitation de cette vulnérabilité peut entraîner un blocage de l'event loop, impactant la disponibilité de l'application. Les versions affectées sont celles antérieures à 2.6.9, 3.1.0, 3.2.7 et 4.3.1. Une mise à jour vers une version corrigée est recommandée.
Un attaquant peut exploiter cette vulnérabilité en fournissant une entrée utilisateur malveillante qui déclenche une expression régulière excessivement complexe. Cela conduit à une consommation excessive de ressources CPU, bloquant l'event loop de Node.js et rendant l'application inaccessible. Bien que la sévérité soit classée comme faible (CVSS 3.7), l'impact peut être significatif, en particulier dans les environnements de production où la disponibilité est critique. L'attaque nécessite environ 50 000 caractères pour bloquer l'event loop pendant 2 secondes, ce qui la rend relativement simple à exécuter. Cette vulnérabilité pourrait être exploitée dans des applications web ou des services backend utilisant la bibliothèque debug.
Cette vulnérabilité a été publiée le 9 août 2018. Il n'y a pas d'indications d'exploitation active à grande échelle. Bien qu'elle soit classée comme une vulnérabilité à faible sévérité, elle reste un risque potentiel, en particulier pour les systèmes qui n'ont pas été mis à jour régulièrement. Il n'y a pas de preuve d'ajout à la liste KEV de CISA à ce jour.
Statut de l'Exploit
EPSS
0.10% (percentile 27%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque debug vers une version corrigée. Pour les versions 2.x.x, mettez à jour vers la version 2.6.9 ou ultérieure. Pour les versions 3.1.x, mettez à jour vers la version 3.1.0 ou ultérieure. Pour les versions 3.2.x, mettez à jour vers la version 3.2.7 ou ultérieure. Enfin, pour les versions 4.x.x, mettez à jour vers la version 4.3.1 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, envisagez d'utiliser un proxy inverse ou un pare-feu d'application web (WAF) pour filtrer les entrées utilisateur malveillantes. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en testant l'application avec des entrées utilisateur potentiellement dangereuses et en surveillant l'utilisation des ressources CPU.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2017-16137 est une vulnérabilité de déni de service (DoS) dans la bibliothèque debug pour Node.js, due à une utilisation incorrecte des expressions régulières.
Vous êtes affecté si vous utilisez une version de debug antérieure à 2.6.9, 3.1.0, 3.2.7 ou 4.3.1.
Mettez à jour la bibliothèque debug vers une version corrigée (2.6.9+, 3.1.0+, 3.2.7+, 4.3.1+).
Il n'y a pas d'indications d'exploitation active à grande échelle à ce jour.
Consultez le site web de Node.js et les dépôts de sécurité pour les informations officielles.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.