Plateforme
nodejs
Composant
parse-url
Corrigé dans
8.1.0
La vulnérabilité CVE-2022-2900 est une faille de type Server-Side Request Forgery (SSRF) découverte dans la bibliothèque JavaScript parse-url développée par ionicabizau. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes ou externes non autorisées. Elle affecte les versions de la bibliothèque inférieures ou égales à 8.1.0 et a été corrigée dans la version 8.1.0.
L'exploitation réussie de cette vulnérabilité SSRF peut permettre à un attaquant d'accéder à des ressources internes qui ne sont pas directement accessibles depuis l'extérieur. Cela peut inclure des informations sensibles stockées sur le serveur, des métadonnées de services cloud, ou même d'autres systèmes internes. Un attaquant pourrait potentiellement scanner le réseau interne à la recherche de services vulnérables, ou utiliser la vulnérabilité pour contourner les contrôles d'accès et accéder à des données confidentielles. L'impact est significatif, car elle permet une exposition potentielle de l'infrastructure interne et des données sensibles.
Cette vulnérabilité a été rendue publique le 14 septembre 2022. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. Bien qu'il n'y ait pas de Proof-of-Concept (PoC) largement diffusé, la nature de la vulnérabilité SSRF la rend potentiellement exploitable par des acteurs malveillants. La vulnérabilité n'est pas répertoriée sur le KEV (Know Exploited Vulnerabilities) de CISA à ce jour.
Applications built with Node.js that utilize the parse-url package are at risk. This includes web applications, APIs, and backend services that process URLs from external sources. Projects relying on older versions of parse-url without robust input validation are particularly vulnerable.
• nodejs / server:
npm list parse-url
# Check for versions <= 8.1.0• nodejs / server:
find /usr/local/lib/node_modules /opt/node_modules -name "parse-url" -print0 | xargs -0 grep -i "//internal.example.com"
# Look for internal URLs in the package codedisclosure
Statut de l'Exploit
EPSS
0.43% (percentile 63%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque parse-url vers la version 8.1.0 ou supérieure. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à valider et à filtrer rigoureusement les URL fournies à la fonction parse de la bibliothèque. Il est également recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes qui pourraient exploiter cette vulnérabilité. Enfin, assurez-vous que les services internes ne sont pas exposés publiquement et que les contrôles d'accès sont correctement configurés.
Mettez à jour la dépendance 'parse-url' à la version 8.1.0 ou supérieure. Cela corrige la vulnérabilité SSRF. Exécutez 'npm install parse-url@latest' ou 'yarn add parse-url@latest' pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2022-2900 is a critical Server-Side Request Forgery (SSRF) vulnerability affecting versions of the parse-url Node.js package up to 8.1.0, allowing attackers to make requests to unintended resources.
If your Node.js project uses parse-url version 8.1.0 or earlier, you are potentially affected. Check your dependencies with npm list parse-url.
Upgrade the parse-url package to version 8.1.0 or later using npm install parse-url@latest. Implement input validation as a temporary workaround if upgrading is not immediately possible.
While no confirmed active exploitation campaigns are publicly known, the SSRF nature of the vulnerability makes it a potential target for attackers.
Refer to the parse-url repository on GitHub for updates and advisories: https://github.com/ionicabizau/parse-url
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.