Plateforme
nodejs
Composant
node-fetch
Corrigé dans
3.1.1
La vulnérabilité CVE-2022-0235 affecte la bibliothèque node-fetch, version 3.1.1 et antérieures. Elle permet l'exposition d'informations sensibles à un acteur non autorisé, compromettant potentiellement la confidentialité des données traitées par les applications Node.js. La mise à jour vers la version 3.1.1 corrige cette faille. Cette vulnérabilité a été publiée le 16 janvier 2022.
Cette vulnérabilité permet à un attaquant d'accéder à des informations sensibles qui transitent par l'application Node.js utilisant node-fetch. L'attaquant pourrait potentiellement intercepter des données sensibles telles que des clés API, des jetons d'authentification ou des informations d'identification. L'impact est significatif car cela peut conduire à une compromission complète de l'application et de ses données. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, la nature de l'exposition d'informations sensibles rend cette vulnérabilité particulièrement préoccupante.
La vulnérabilité CVE-2022-0235 n'est pas répertoriée sur le KEV de CISA à ce jour. Il n'existe pas de preuve d'exploitation active connue, mais la nature de la vulnérabilité (exposition d'informations sensibles) suggère un risque potentiel. La publication de la vulnérabilité a eu lieu le 16 janvier 2022, et un correctif a été disponible à la même date.
Applications built with Node.js that utilize the node-fetch library are at risk. This includes web applications, APIs, and backend services that rely on node-fetch for making HTTP requests. Specifically, applications that handle sensitive data or interact with external APIs are particularly vulnerable.
• nodejs / server:
npm list node-fetch• nodejs / server:
npm audit node-fetch• nodejs / server: Check package.json for versions <= 3.1.1 • nodejs / server: Review application logs for unusual HTTP requests or error messages related to header processing.
disclosure
Statut de l'Exploit
EPSS
0.53% (percentile 67%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque node-fetch vers la version 3.1.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez d'utiliser un proxy inverse ou un pare-feu d'application web (WAF) pour filtrer le trafic malveillant. Assurez-vous que les variables d'environnement contenant des informations sensibles ne sont pas accessibles depuis l'extérieur de l'application. Après la mise à jour, vérifiez la configuration de node-fetch pour vous assurer qu'elle est sécurisée et qu'elle ne transmet pas d'informations sensibles en clair.
Mettez à jour la dépendance node-fetch à la version 3.1.1 ou supérieure. Cela résoudra la vulnérabilité d'exposition d'informations sensibles. Exécutez `npm install node-fetch@latest` ou `yarn upgrade node-fetch@latest` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2022-0235 décrit une vulnérabilité dans la bibliothèque node-fetch qui permet à un attaquant d'accéder à des informations sensibles, comme des clés API, qui transitent par l'application Node.js.
Vous êtes affecté si vous utilisez node-fetch en version 3.1.1 ou inférieure. Vérifiez votre version actuelle avec npm list node-fetch.
Mettez à jour node-fetch vers la version 3.1.1 ou supérieure en utilisant npm install node-fetch@latest.
Bien qu'il n'y ait pas de preuve d'exploitation active connue, la nature de la vulnérabilité rend son exploitation potentielle préoccupante.
Consultez le dépôt GitHub de node-fetch pour les détails et les correctifs : https://github.com/node-fetch/node-fetch
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.