Plateforme
nodejs
Composant
morgan
Corrigé dans
1.9.2
1.9.1
La vulnérabilité CVE-2019-5413 affecte les versions de la librairie morgan pour Node.js antérieures à 1.9.1. Elle permet une injection de code si l'entrée utilisateur est autorisée dans le filtre ou combinée à une attaque de pollution de prototype. Cette faille critique peut permettre à un attaquant de compromettre le serveur et d'exécuter du code arbitraire. La mise à jour vers la version 1.9.1 ou ultérieure corrige ce problème.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour injecter du code malveillant dans le processus Node.js. Cela peut conduire à la prise de contrôle complète du serveur, à la compromission des données sensibles, et à l'exécution de commandes arbitraires. L'attaque repose sur la possibilité d'influencer le filtre utilisé par morgan pour enregistrer les requêtes HTTP, ou d'exploiter une pollution de prototype pour modifier le comportement de l'application. Des attaques similaires ont démontré la capacité d'injecter des commandes système, permettant un accès non autorisé au système d'exploitation sous-jacent.
Cette vulnérabilité a été rendue publique le 25 mars 2019. Bien qu'il n'y ait pas de preuves d'exploitation active à grande échelle, la sévérité élevée de la vulnérabilité et la facilité d'exploitation potentielle la rendent préoccupante. Des preuves de concept (PoC) sont disponibles publiquement, ce qui augmente le risque d'exploitation. La vulnérabilité n'est pas répertoriée sur le KEV de CISA à ce jour.
Applications built with Node.js that utilize the morgan module for logging, particularly those that allow user-supplied data to influence the logging format, are at risk. This includes web applications, APIs, and backend services. Shared hosting environments where users can influence application configuration are also particularly vulnerable.
• nodejs / server:
npm list morgan• nodejs / server:
npm audit• nodejs / server: Check package.json for morgan versions < 1.9.1. Review application code for usage of morgan's filter function with unsanitized user input.
disclosure
Statut de l'Exploit
EPSS
1.95% (percentile 83%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la librairie morgan vers la version 1.9.1 ou une version ultérieure. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à valider et à assainir rigoureusement toutes les entrées utilisateur avant de les utiliser dans le filtre morgan. Il est également recommandé de désactiver le filtre si celui-ci n'est pas absolument nécessaire. En cas de pollution de prototype, assurez-vous que les objets utilisés par morgan ne sont pas modifiables par l'utilisateur. Après la mise à jour, vérifiez le fonctionnement de l'application et assurez-vous que les logs sont toujours correctement générés.
Mettez à jour le paquet morgan à la version 1.9.1 ou supérieure. Cela corrigera la vulnérabilité d'injection de commandes. Exécutez `npm install morgan@latest` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-5413 is a critical code injection vulnerability in the Morgan Node.js module, allowing attackers to execute arbitrary code through prototype pollution if user input is improperly handled.
You are affected if you are using a version of Morgan prior to 1.9.1 and your application allows user input to influence the logging format.
Upgrade the Morgan module to version 1.9.1 or later. If immediate upgrade is not possible, sanitize user input passed to the filter function.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and potential impact warrant immediate attention and remediation.
Refer to the Morgan project's repository and related security advisories for detailed information and updates: https://github.com/expressjs/morgan
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.