Plateforme
nodejs
Composant
parse-url
Corrigé dans
7.0.0
La vulnérabilité CVE-2022-2216 est une faille de type Server-Side Request Forgery (SSRF) affectant la bibliothèque parse-url développée par ionicabizau, et ce, pour les versions inférieures ou égales à 7.0.0. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes ou externes non autorisées, potentiellement compromettant la confidentialité et l'intégrité des données. La version 7.0.0 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité SSRF peut permettre à un attaquant d'accéder à des ressources internes qui ne seraient normalement pas accessibles depuis l'extérieur du réseau. Cela peut inclure des informations sensibles stockées dans des bases de données, des fichiers de configuration, ou d'autres services internes. Un attaquant pourrait également utiliser cette faille pour scanner le réseau interne à la recherche d'autres vulnérabilités, ou pour lancer des attaques contre d'autres systèmes. Le risque est exacerbé si l'application utilise parse-url pour traiter des entrées utilisateur non validées, car cela permettrait à l'attaquant de contrôler la destination des requêtes.
Cette vulnérabilité a été rendue publique le 27 juin 2022. Bien qu'il n'y ait pas de preuve d'exploitation active à grande échelle, la sévérité CRITICAL de la vulnérabilité et la facilité potentielle d'exploitation la rendent préoccupante. Il n'y a pas d'entrée dans le KEV à ce jour. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
Applications built with Node.js that utilize the parse-url package, particularly those handling user-supplied URLs without proper validation, are at significant risk. This includes web applications, APIs, and backend services. Projects relying on older versions of Node.js or using outdated dependency management practices are also more vulnerable.
• nodejs / server:
npm list parse-urlIf the output shows a version less than 7.0.0, the system is vulnerable. • nodejs / server:
npm audit parse-urlThis command will identify the vulnerability and suggest an upgrade. • generic web: Inspect application logs for unusual outbound HTTP requests originating from the application server. Look for requests to unexpected internal or external IP addresses or domains.
disclosure
Statut de l'Exploit
EPSS
0.32% (percentile 55%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque parse-url vers la version 7.0.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à valider et filtrer rigoureusement toutes les entrées utilisateur avant de les utiliser dans les requêtes effectuées par parse-url. L'utilisation d'un proxy inverse ou d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes. Il est recommandé de configurer le WAF pour bloquer les requêtes vers des adresses IP internes ou des protocoles non autorisés.
Mettez à jour la dépendance `parse-url` à la version 7.0.0 ou supérieure. Cela corrige la vulnérabilité SSRF. Exécutez `npm install parse-url@latest` ou `yarn add parse-url@latest` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2022-2216 is a critical Server-Side Request Forgery (SSRF) vulnerability affecting versions of the parse-url Node.js package prior to 7.0.0, allowing attackers to make requests to unintended destinations.
You are affected if your project uses parse-url version 7.0.0 or earlier. Check your package.json file and run npm list parse-url to verify.
Upgrade the parse-url package to version 7.0.0 or later using npm install [email protected].
While no confirmed active exploitation campaigns are publicly known, the CRITICAL severity and availability of PoCs suggest a high likelihood of exploitation.
Refer to the official parse-url repository on GitHub for updates and advisories: https://github.com/ionicabizau/parse-url
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.