Plateforme
nodejs
Composant
logkitty
Corrigé dans
0.7.2
0.7.1
La vulnérabilité CVE-2020-8149 affecte le paquet npm logkitty, versions antérieures à 0.7.1. Elle résulte d'un manque de validation des sorties, permettant à un attaquant d'exécuter des commandes shell arbitraires sur le système. Cette faille critique peut compromettre la sécurité des applications Node.js utilisant logkitty. La mise à jour vers la version 0.7.1 corrige ce problème.
Cette vulnérabilité permet à un attaquant d'injecter des commandes malveillantes dans le flux de sortie de logkitty, qui seront ensuite exécutées par le système d'exploitation. Un attaquant pourrait exploiter cette faille pour prendre le contrôle complet du serveur, voler des données sensibles, installer des logiciels malveillants ou lancer des attaques contre d'autres systèmes du réseau. L'impact est particulièrement grave car logkitty est souvent utilisé dans des environnements de développement et de production, ce qui signifie que la vulnérabilité peut affecter un large éventail d'applications et de services. Cette vulnérabilité présente un risque élevé de compromission du système.
Cette vulnérabilité a été rendue publique le 5 juin 2020. Un proof-of-concept (PoC) est disponible, ce qui augmente le risque d'exploitation. Bien qu'il n'y ait pas de rapports d'exploitation active à ce jour, la simplicité de l'exploitation et la criticité de la vulnérabilité en font une cible potentielle pour les attaquants. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
Node.js developers and DevOps teams are at risk, particularly those using logkitty for logging purposes within their applications. Projects utilizing third-party libraries that depend on logkitty are also indirectly affected. Shared hosting environments where multiple applications share the same Node.js installation are especially vulnerable.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object -ExpandProperty CommandLine | Select-String -Pattern 'logkitty'• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter 'node_modules\logkitty' | ForEach-Object { Get-Content $_.FullName }disclosure
patch
Statut de l'Exploit
EPSS
2.04% (percentile 84%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour le paquet logkitty vers la version 0.7.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement l'utilisation de logkitty ou de limiter les privilèges de l'utilisateur qui l'exécute. Il n'existe pas de correctifs spécifiques pour les versions antérieures, la mise à jour est donc essentielle. Après la mise à jour, vérifiez que le paquet a bien été mis à jour en exécutant npm list logkitty et en confirmant la version.
Mettez à jour le paquet logkitty à la version 0.7.1 ou supérieure. Cela corrigera la vulnérabilité de validation de la sortie qui permet l'exécution de commandes arbitraires.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2020-8149 is a critical vulnerability in the logkitty npm package allowing attackers to execute arbitrary shell commands due to insufficient output sanitization. This impacts Node.js applications using versions prior to 0.7.1.
You are affected if your Node.js project uses the logkitty package in a version earlier than 0.7.1. Check your package.json file to determine your current version.
Upgrade the logkitty package to version 0.7.1 or later using npm: npm install logkitty@latest.
While confirmed active exploitation is not publicly documented, the vulnerability's severity and readily available proof-of-concept exploits suggest a high probability of exploitation.
Refer to the npm advisory for CVE-2020-8149: https://www.npmjs.com/advisories/1237
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.