Plateforme
nodejs
Composant
eventsource
Corrigé dans
2.0.2
2.0.2
2.0.2
La CVE-2022-1650 affecte le dépôt GitHub eventsource/eventsource. Elle est due à une suppression incorrecte d'informations sensibles avant stockage ou transfert. Cette faille peut entraîner une divulgation d'informations sensibles. Les versions affectées sont les versions 0.0.0 à v2.0.2. La version v2.0.2 corrige cette vulnérabilité.
La vulnérabilité CVE-2022-1650 dans la bibliothèque eventsource/eventsource, antérieure à la version v2.0.2, représente un risque potentiel de fuite d'informations sensibles. La bibliothèque était constatée comme ne supprimant pas correctement les informations confidentielles avant de les stocker ou de les transférer. Cela pourrait permettre à un attaquant d'accéder à des données privées qui ne devraient pas être exposées. Le CVSS a été noté à 8.1, indiquant un niveau de risque élevé. La gravité de cette vulnérabilité dépend du contexte d'utilisation de la bibliothèque eventsource, en particulier si elle est utilisée pour gérer des données sensibles ou dans des environnements où la confidentialité est critique. L'exposition de ces informations pourrait entraîner des violations de sécurité, un vol de données ou un accès non autorisé aux systèmes.
L'exploitation de cette vulnérabilité nécessite un accès au code ou aux données traitées par la bibliothèque eventsource. Un attaquant pourrait tenter de manipuler les données d'entrée pour déclencher la fuite d'informations sensibles. Le risque est plus élevé dans les applications web qui utilisent eventsource pour la communication en temps réel, car ces applications traitent souvent des données confidentielles. La complexité de l'exploitation dépendra de l'architecture de l'application et des mesures de sécurité mises en œuvre. L'impact potentiel est important, car la fuite d'informations peut compromettre l'intégrité et la confidentialité des données.
Applications built using Node.js that rely on the eventsource library for event streaming or long-polling functionality are at risk. This includes web applications, backend services, and any other systems integrating this library. Developers who haven't recently reviewed their dependencies are particularly vulnerable.
• nodejs / server:
npm list eventsourceThis command will list the installed version of the eventsource library. If the version is less than v2.0.2, the system is vulnerable.
• nodejs / server:
npm audit eventsourceThis command will check for known vulnerabilities in the eventsource library and report any findings.
• generic web:
Review application code for instances where the eventsource library is used. Look for potential data leakage points where sensitive information might be passed to or from the library without proper sanitization.
disclosure
Statut de l'Exploit
EPSS
1.14% (percentile 78%)
Vecteur CVSS
La solution pour atténuer la vulnérabilité CVE-2022-1650 est de mettre à niveau la bibliothèque eventsource vers la version v2.0.2 ou supérieure. Cette version inclut la correction qui traite du problème de la suppression inadéquate des informations sensibles. Il est recommandé d'effectuer cette mise à niveau dès que possible pour réduire le risque d'exploitation. De plus, examinez le code qui utilise la bibliothèque eventsource pour identifier les points de fuite de données potentiels et appliquer des mesures de sécurité supplémentaires si nécessaire. La surveillance des journaux système à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles. La mise à niveau doit faire partie d'une stratégie plus large de gestion des vulnérabilités.
Actualice la biblioteca eventsource a la versión 2.0.2 o superior. Esto corrige la vulnerabilidad que permite la exposición de información sensible antes de ser almacenada o transferida.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
eventsource est une bibliothèque JavaScript qui implémente le protocole EventSource, permettant la communication en temps réel entre un serveur et un client web.
Si votre application utilise une version antérieure à v2.0.2 de eventsource et traite des données sensibles, vous êtes à risque de fuite d'informations.
En guise de mesure temporaire, envisagez de mettre en œuvre des contrôles d'accès plus stricts et de surveiller les journaux système à la recherche d'activités suspectes.
Vous pouvez trouver plus d'informations sur la page CVE-2022-1650 sur le site web de la National Vulnerability Database (NVD).
Certains outils d'analyse de sécurité statique de code (SAST) peuvent détecter cette vulnérabilité. Consultez la documentation de votre outil SAST pour plus d'informations.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.