Plateforme
nodejs
Composant
superjson
Corrigé dans
1.8.1
1.8.1
La vulnérabilité CVE-2022-23631 est une faille d'exécution de code à distance (RCE) critique affectant la bibliothèque superjson. Cette faille permet à un attaquant d'exécuter du code arbitraire sur un serveur utilisant superjson pour le traitement des entrées, sans nécessiter d'authentification préalable. Les versions de superjson antérieures à 1.8.1 sont concernées, ainsi que les applications construites avec Blitz.js utilisant ces versions.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant peut exploiter cette faille pour prendre le contrôle total du serveur, ce qui lui permet de voler des données sensibles, de les manipuler, et d'attaquer d'autres systèmes connectés. La vulnérabilité est particulièrement préoccupante car elle ne nécessite aucune authentification préalable, ce qui signifie qu'un attaquant peut l'exploiter à distance sans avoir besoin de s'identifier. Dans le contexte de Blitz.js, l'exploitation se fait via les appels RPC. Cette vulnérabilité présente un risque similaire à d'autres failles d'injection de code, permettant un accès non autorisé et une exécution de commandes arbitraires sur le serveur.
Cette vulnérabilité a été rendue publique le 9 février 2022. Bien qu'il n'y ait pas de preuve d'exploitation active à grande échelle, la simplicité de l'exploitation et la criticité de l'impact en font une cible potentielle pour les attaquants. Il existe des preuves publiques de concepts d'exploitation (PoC) disponibles, ce qui augmente le risque d'exploitation. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA à ce jour.
Applications built with Blitz.js that utilize superjson for data parsing are particularly at risk. Any Node.js application relying on superjson for processing external data, especially in API endpoints or RPC calls, is also vulnerable. Shared hosting environments where multiple applications share the same server instance are at increased risk due to the potential for cross-application exploitation.
• nodejs / server:
npm list superjsonThis command will list installed versions of superjson. Check if the version is less than 1.8.1. • nodejs / server:
find / -name "superjson.js" -o -name "superjson.min.js" -printLocate superjson files on the system to identify potential vulnerable deployments. • nodejs / server:
grep -r 'superjson.parse' /path/to/your/appSearch for instances of superjson.parse within your application code, as this is a key function used in vulnerable scenarios.
disclosure
Statut de l'Exploit
EPSS
0.40% (percentile 61%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque superjson vers la version 1.8.1 ou, si vous utilisez Blitz.js, vers la version 0.45.3. Si la mise à jour n'est pas immédiatement possible, il est crucial de désactiver temporairement les points de terminaison qui utilisent superjson pour le traitement des entrées. En attendant la mise à jour, envisagez de mettre en place des règles WAF (Web Application Firewall) pour bloquer les requêtes suspectes. Surveillez attentivement les journaux du serveur pour détecter toute activité inhabituelle. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en effectuant des tests de pénétration ciblés.
Mettez à jour la version de superjson à la 1.8.1 ou supérieure. Cela corrige la vulnérabilité de pollution de prototype qui permet l'exécution à distance de code. Exécutez `npm install superjson@latest` ou `yarn add superjson@latest` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2022-23631 est une vulnérabilité d'exécution de code à distance critique dans la bibliothèque superjson, permettant l'exécution de code arbitraire sur le serveur.
Vous êtes affecté si vous utilisez une version de superjson antérieure à 1.8.1, ou si vous utilisez Blitz.js avec une version non corrigée de superjson.
Mettez à jour superjson vers la version 1.8.1 ou Blitz.js vers la version 0.45.3. En attendant, désactivez les points de terminaison utilisant superjson.
Bien qu'il n'y ait pas de preuve d'exploitation active à grande échelle, la vulnérabilité est considérée comme une cible potentielle en raison de sa criticité et de la disponibilité de PoC.
Consultez le dépôt GitHub de superjson pour les informations officielles : https://github.com/bumbumchik/superjson/security/advisories/CVE-2022-23631
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.