प्लेटफ़ॉर्म
nodejs
घटक
morgan
में ठीक किया गया
1.9.2
1.9.1
CVE-2019-5413 एक गंभीर कोड इंजेक्शन भेद्यता है जो Node.js के लिए morgan लाइब्रेरी में पाई गई है। यह भेद्यता हमलावरों को फ़िल्टर में दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से सिस्टम पर नियंत्रण हो सकता है। यह भेद्यता उन सभी morgan संस्करणों को प्रभावित करती है जो 1.9.1 से पहले हैं। इस समस्या को हल करने के लिए, 1.9.1 या बाद के संस्करण में अपडेट करना आवश्यक है।
यह भेद्यता हमलावरों के लिए Node.js एप्लिकेशन पर अनधिकृत कोड निष्पादित करने का मार्ग खोलती है। यदि कोई हमलावर फ़िल्टर में दुर्भावनापूर्ण कोड इंजेक्ट करने में सक्षम है, तो वे एप्लिकेशन के डेटा तक पहुंच प्राप्त कर सकते हैं, सिस्टम कॉन्फ़िगरेशन को संशोधित कर सकते हैं, या यहां तक कि पूरी प्रणाली पर नियंत्रण भी हासिल कर सकते हैं। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो उपयोगकर्ता इनपुट को सीधे फ़िल्टर में उपयोग करते हैं, क्योंकि यह हमलावरों के लिए दुर्भावनापूर्ण कोड इंजेक्ट करना आसान बनाता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर को फ़िल्टर में दुर्भावनापूर्ण कोड इंजेक्ट करने के लिए एक विशेष रूप से तैयार किया गया अनुरोध भेजना होगा।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसके लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हैं। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है, लेकिन इसका उच्च जोखिम स्तर इसे तत्काल ध्यान देने योग्य बनाता है। इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी तक उपलब्ध नहीं है। NVD (National Vulnerability Database) ने 2019-03-26 को इस भेद्यता को सूचीबद्ध किया।
Applications built with Node.js that utilize the morgan module for logging, particularly those that allow user-supplied data to influence the logging format, are at risk. This includes web applications, APIs, and backend services. Shared hosting environments where users can influence application configuration are also particularly vulnerable.
• nodejs / server:
npm list morgan• nodejs / server:
npm audit• nodejs / server: Check package.json for morgan versions < 1.9.1. Review application code for usage of morgan's filter function with unsanitized user input.
disclosure
एक्सप्लॉइट स्थिति
EPSS
1.95% (83% शतमक)
CVSS वेक्टर
CVE-2019-5413 को कम करने का प्राथमिक तरीका morgan लाइब्रेरी को 1.9.1 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो फ़िल्टर में उपयोगकर्ता इनपुट को सीधे उपयोग करने से बचें। इसके बजाय, इनपुट को मान्य और सैनिटाइज करें ताकि दुर्भावनापूर्ण कोड इंजेक्ट करने से रोका जा सके। यदि संभव हो, तो वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो कोड इंजेक्शन हमलों को ब्लॉक कर सके। इसके अतिरिक्त, अपने Node.js एप्लिकेशन के लॉग की नियमित रूप से निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपडेट करने के बाद, जांचें कि नया संस्करण ठीक से काम कर रहा है और कोई नई समस्या नहीं है।
मॉर्गन पैकेज को संस्करण 1.9.1 या उच्चतर में अपडेट करें। यह कमांड इंजेक्शन के भेद्यता को ठीक कर देगा। `npm install morgan@latest` चलाकर अपडेट करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2019-5413 एक गंभीर भेद्यता है जो Node.js के लिए morgan लाइब्रेरी में पाई गई है, जिससे हमलावर फ़िल्टर में दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं।
यदि आप morgan के 1.9.1 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
morgan लाइब्रेरी को 1.9.1 या बाद के संस्करण में अपडेट करें।
इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी तक उपलब्ध नहीं है, लेकिन इसका उच्च जोखिम स्तर इसे तत्काल ध्यान देने योग्य बनाता है।
आप आधिकारिक morgan सलाहकार https://snyk.io/vuln/SNYK-JS-MORGAN-5413 पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।