qs में मेमोरी खत्म होने के कारण Denial-of-Service

यह भेद्यता हमलावर को Node.js एप्लिकेशन को Denial of Service (DoS) हमले का शिकार बनाने की अनुमति देती है। हमलावर एक विशेष रूप से तैयार की गई स्ट्रिंग भेज सकता है जिसे qs मॉड्यूल द्वारा पार्स किया जाता है। यह स्ट्रिंग बहुत बड़े, विरल सरणियों को डीसेरियलाइज़ करती है, जिससे एप्लिकेशन मेमोरी से बाहर हो जाता है और क्रैश हो जाता है। इससे एप्लिकेशन अनुपलब्ध हो सकता है और उपयोगकर्ताओं को सेवा से वंचित किया जा सकता है। इस भेद्यता का उपयोग अन्य हमलों को लॉन्च करने के लिए भी किया जा सकता है, जैसे कि डेटा चोरी या सिस्टम पर नियंत्रण हासिल करना।

Applications built with Node.js that utilize the qs module and are running versions prior to 1.0.0 are at risk. This includes web applications, APIs, and any other Node.js-based services that process external input data without proper validation.

• nodejs / server:

  npm list qs

• nodejs / server:

  npm audit qs

• nodejs / server: Check application logs for errors related to memory exhaustion or crashes after processing input data.

1. 2014-06-17Discovery

   discovery

2. 2017-10-24Disclosure

   disclosure

1. प्रकाशित2017-10-24
2. संशोधित2023-11-08
3. EPSS अद्यतन2026-04-02

CVE-2014-7191 को कम करने का प्राथमिक तरीका qs मॉड्यूल को संस्करण 1.0.0 या बाद में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो आप अस्थायी रूप से इनपुट सत्यापन लागू करके या qs मॉड्यूल के उपयोग को सीमित करके भेद्यता के प्रभाव को कम कर सकते हैं। इनपुट सत्यापन यह सुनिश्चित करने में मदद कर सकता है कि qs मॉड्यूल द्वारा पार्स की जाने वाली स्ट्रिंग तैयार नहीं है। इसके अतिरिक्त, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो DoS हमलों का पता लगाता है और उन्हें ब्लॉक करता है।