अनधिकृत व्यक्ति को संवेदनशील जानकारी का एक्सपोजर node-fetch/node-fetch में

CVE-2022-0235 भेद्यता के कारण, एक हमलावर node-fetch लाइब्रेरी का उपयोग करने वाले एप्लिकेशन से संवेदनशील जानकारी, जैसे API कुंजियाँ, पासवर्ड या अन्य गोपनीय डेटा को उजागर कर सकता है। हमलावर इस जानकारी का उपयोग एप्लिकेशन को समझौता करने, डेटा चोरी करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए कर सकता है। इस भेद्यता का प्रभाव व्यापक हो सकता है, क्योंकि node-fetch का उपयोग कई अलग-अलग अनुप्रयोगों में किया जाता है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए चिंताजनक है जो संवेदनशील डेटा को संसाधित करते हैं या संग्रहीत करते हैं।

Applications built with Node.js that utilize the node-fetch library are at risk. This includes web applications, APIs, and backend services that rely on node-fetch for making HTTP requests. Specifically, applications that handle sensitive data or interact with external APIs are particularly vulnerable.

• nodejs / server:

  npm list node-fetch

• nodejs / server:

  npm audit node-fetch

• nodejs / server: Check package.json for versions <= 3.1.1 • nodejs / server: Review application logs for unusual HTTP requests or error messages related to header processing.

1. 2022-01-16Disclosure

   disclosure

1. आरक्षित2022-01-14
2. प्रकाशित2022-01-16
3. संशोधित2024-08-02
4. EPSS अद्यतन2026-04-02

CVE-2022-0235 को कम करने के लिए, node-fetch को संस्करण 3.1.1 या उच्चतर में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके संवेदनशील जानकारी को उजागर करने वाले अनुरोधों को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप अपने एप्लिकेशन में इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके भेद्यता के जोखिम को कम कर सकते हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, भेद्यता स्कैन चलाकर सत्यापित करें।

अंतिम अपडेट

3.3.234 महीने पहले