Plateforme
nodejs
Composant
follow-redirects
Corrigé dans
1.14.7
La vulnérabilité CVE-2022-0155 affecte la bibliothèque follow-redirects et permet la divulgation d'informations personnelles sensibles à des acteurs non autorisés. L'impact est une potentielle violation de la vie privée. Les versions affectées sont celles inférieures ou égales à 1.14.7. La version 1.14.7 corrige cette vulnérabilité.
La vulnérabilité CVE-2022-0155 dans le package follow-redirects expose potentiellement des informations personnelles privées à un acteur non autorisé. L'attaque peut se produire lorsque l'application utilise follow-redirects pour suivre des redirections HTTP, en particulier si ces redirections sont contrôlées par un attaquant. Un attaquant malveillant peut manipuler les redirections pour qu'elles pointent vers un serveur contrôlé par lui, qui renvoie alors des données sensibles, telles que des informations d'identification, des données de session, ou d'autres informations confidentielles, à l'attaquant. Le risque est particulièrement élevé si l'application utilise les redirections pour authentifier des utilisateurs ou pour gérer des informations sensibles. Le rayon d'impact est potentiellement large, affectant tous les utilisateurs de l'application qui interagissent avec des fonctionnalités dépendantes de follow-redirects et qui sont susceptibles d'être redirigés vers un serveur malveillant. Par exemple, une application web qui utilise follow-redirects pour gérer les liens de connexion pourrait être exploitée pour voler les identifiants des utilisateurs. L'attaquant pourrait également utiliser cette vulnérabilité pour effectuer des attaques de phishing plus sophistiquées en redirigeant les utilisateurs vers des pages de connexion falsifiées.
À ce jour, il n'y a pas de rapports publics d'exploitation de la vulnérabilité CVE-2022-0155. Cependant, l'absence de rapports d'exploitation ne signifie pas que la vulnérabilité n'est pas dangereuse. Le potentiel d'exploitation est présent, et il est possible qu'un attaquant puisse développer une preuve de concept (POC) à l'avenir. Compte tenu de la nature de la vulnérabilité et de la facilité potentielle d'exploitation, il est fortement recommandé d'appliquer la correction dès que possible. La vulnérabilité est classée comme de haute gravité (CVSS score de 8.0), ce qui souligne l'urgence de la correction. Le manque d'exploitation publique actuelle ne doit pas retarder la mise en œuvre des mesures correctives.
Statut de l'Exploit
EPSS
1.30% (percentile 80%)
Vecteur CVSS
La solution la plus efficace pour corriger la vulnérabilité CVE-2022-0155 est de mettre à niveau le package follow-redirects vers la version 1.14.7 ou supérieure. Cette version inclut une correction qui empêche l'exposition des informations personnelles. Si la mise à niveau n'est pas immédiatement possible, une solution de contournement temporaire consiste à désactiver la fonctionnalité de suivi des redirections ou à valider rigoureusement les URL de redirection avant de les suivre. Il est crucial de s'assurer que les redirections proviennent de sources fiables et qu'elles ne pointent pas vers des domaines inconnus ou suspects. Après la mise à niveau ou l'implémentation d'une solution de contournement, il est recommandé de tester minutieusement l'application pour vérifier que la vulnérabilité a bien été corrigée et qu'aucune nouvelle fonctionnalité n'a été compromise. Les tests devraient inclure des scénarios d'attaque simulés pour s'assurer que les redirections sont correctement gérées et que les informations sensibles sont protégées.
Actualice la dependencia follow-redirects a la versión 1.14.7 o superior. Esto corrige la vulnerabilidad de exposición de información personal privada. Ejecute `npm install follow-redirects@latest` o `yarn upgrade follow-redirects@latest` para actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2022-0155 is a vulnerability in the follow-redirects package that allows unauthorized actors to potentially expose private personal information by improperly handling redirects.
Applications using versions of the follow-redirects package prior to 1.14.7 are potentially affected by this vulnerability.
Upgrade the follow-redirects package to version 1.14.7 or later to resolve this vulnerability.
As of now, there are no publicly available exploitation reports or proof-of-concept code for CVE-2022-0155.
Refer to the National Vulnerability Database (NVD) entry for CVE-2022-0155 at https://nvd.nist.gov/vuln/detail/CVE-2022-0155 for more information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.