Plateforme
nodejs
Composant
serialize-to-js
Corrigé dans
1.0.0
La vulnérabilité CVE-2017-5954 concerne une faille d'exécution de code arbitraire (RCE) dans la bibliothèque serialize-to-js pour Node.js. Cette faille permet à un attaquant d'exécuter du code malveillant en injectant une Immediately Invoked Function Expression (IIFE) dans le processus de désérialisation. Les versions affectées sont celles antérieures à la version 1.0.0. Une mise à jour vers la version 1.0.0 ou ultérieure est recommandée pour corriger cette vulnérabilité.
L'impact de cette vulnérabilité est critique car elle permet une exécution de code arbitraire sur le système. Un attaquant peut exploiter cette faille pour prendre le contrôle complet du serveur Node.js, voler des données sensibles, installer des logiciels malveillants ou lancer d'autres attaques. La simplicité de l'exploitation, démontrée par le Proof of Concept fourni, rend cette vulnérabilité particulièrement dangereuse. L'injection d'une IIFE malveillante lors de la désérialisation permet de contourner les mécanismes de sécurité et d'exécuter du code non autorisé. Cela pourrait avoir des conséquences désastreuses pour les applications et les données hébergées sur le serveur.
Cette vulnérabilité a été rendue publique en juillet 2018. Un Proof of Concept (PoC) est disponible, ce qui facilite son exploitation. Bien qu'il n'y ait pas de rapports d'exploitation active confirmés à ce jour, la simplicité du PoC et la large utilisation de la bibliothèque serialize-to-js la rendent potentiellement dangereuse. Elle n'est pas répertoriée sur le KEV de CISA à ce jour.
Applications and services built on Node.js that utilize the serialize-to-js package are at risk. This includes web applications, APIs, and backend services that rely on this package for data serialization and deserialization. Projects using older versions of Node.js or those with complex dependency chains are particularly vulnerable.
• nodejs / server:
npm list serialize-to-jsIf the output shows a version prior to 1.0.0, the system is vulnerable. • nodejs / server:
npm audit serialize-to-jsThis command will identify the vulnerability and suggest an upgrade. • generic web: Examine application logs for any unusual JavaScript execution patterns or errors related to deserialization. Look for patterns resembling the provided PoC payload.
disclosure
patch
Statut de l'Exploit
EPSS
1.67% (percentile 82%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque serialize-to-js vers la version 1.0.0 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement la fonctionnalité de désérialisation ou de mettre en œuvre une validation stricte des données d'entrée pour empêcher l'injection de code malveillant. Il est également conseillé de surveiller les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez que la désérialisation ne peut plus être exploitée en tentant d'injecter le payload de preuve de concept et en vérifiant qu'aucune exécution de code n'a lieu.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2017-5954 is a critical remote code execution vulnerability in the serialize-to-js Node.js package, allowing attackers to execute arbitrary code during deserialization.
You are affected if your project uses serialize-to-js versions prior to 1.0.0. Check your dependencies using npm list serialize-to-js.
Upgrade the serialize-to-js package to version 1.0.0 or later using npm install serialize-to-js@latest.
While there's no confirmed widespread exploitation, the availability of a PoC makes it a high-priority concern.
Refer to the package's npm page for details and the author's disclaimer: https://www.npmjs.com/package/serialize-to-js#deserialize
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.