प्लेटफ़ॉर्म
nodejs
घटक
eventsource
में ठीक किया गया
2.0.2
2.0.2
2.0.2
CVE-2022-1650, eventsource लाइब्रेरी में संवेदी जानकारी के अनुचित निष्कासन से संबंधित है। इस भेद्यता का फायदा उठाकर, हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, जिससे डेटा लीक का खतरा बढ़ जाता है। यह भेद्यता संस्करण 0.0.0 से v2.0.2 तक के eventsource लाइब्रेरी को प्रभावित करती है। संस्करण v2.0.2 में इस समस्या को ठीक कर दिया गया है।
CVE-2022-1650 eventsource/eventsource लाइब्रेरी के v2.0.2 से पहले के संस्करणों में एक संभावित संवेदनशील जानकारी रिसाव भेद्यता का प्रतिनिधित्व करता है। लाइब्रेरी को स्टोरेज या ट्रांसफर से पहले संवेदनशील जानकारी को ठीक से हटाने के लिए नहीं पाया गया था। यह एक हमलावर को निजी डेटा तक पहुंचने की अनुमति दे सकता है जिसे उजागर नहीं किया जाना चाहिए। CVSS को 8.1 पर स्कोर किया गया है, जो उच्च स्तर के जोखिम को इंगित करता है। इस भेद्यता की गंभीरता eventsource लाइब्रेरी के उपयोग के संदर्भ पर निर्भर करती है, खासकर यदि इसका उपयोग संवेदनशील डेटा को संभालने या उन वातावरणों में किया जाता है जहां गोपनीयता महत्वपूर्ण है। इस जानकारी का एक्सपोजर सुरक्षा उल्लंघनों, डेटा चोरी या सिस्टम तक अनधिकृत पहुंच का कारण बन सकता है।
इस भेद्यता का शोषण करने के लिए eventsource लाइब्रेरी द्वारा संसाधित कोड या डेटा तक पहुंच की आवश्यकता होती है। एक हमलावर संवेदनशील जानकारी के रिसाव को ट्रिगर करने के लिए इनपुट डेटा में हेरफेर करने का प्रयास कर सकता है। जोखिम वास्तविक समय संचार के लिए eventsource का उपयोग करने वाले वेब अनुप्रयोगों में अधिक होता है, क्योंकि ये एप्लिकेशन अक्सर गोपनीय डेटा को संभालते हैं। शोषण की जटिलता एप्लिकेशन आर्किटेक्चर और लागू किए गए सुरक्षा उपायों पर निर्भर करेगी। संभावित प्रभाव महत्वपूर्ण है, क्योंकि डेटा रिसाव डेटा की अखंडता और गोपनीयता को खतरे में डाल सकता है।
Applications built using Node.js that rely on the eventsource library for event streaming or long-polling functionality are at risk. This includes web applications, backend services, and any other systems integrating this library. Developers who haven't recently reviewed their dependencies are particularly vulnerable.
• nodejs / server:
npm list eventsourceThis command will list the installed version of the eventsource library. If the version is less than v2.0.2, the system is vulnerable.
• nodejs / server:
npm audit eventsourceThis command will check for known vulnerabilities in the eventsource library and report any findings.
• generic web:
Review application code for instances where the eventsource library is used. Look for potential data leakage points where sensitive information might be passed to or from the library without proper sanitization.
disclosure
एक्सप्लॉइट स्थिति
EPSS
1.14% (78% शतमक)
CVSS वेक्टर
CVE-2022-1650 को कम करने का समाधान eventsource लाइब्रेरी को संस्करण v2.0.2 या उच्चतर में अपग्रेड करना है। इस संस्करण में वह फिक्स शामिल है जो संवेदनशील जानकारी को ठीक से हटाने की समस्या को संबोधित करता है। शोषण के जोखिम को कम करने के लिए इस अपडेट को जल्द से जल्द करना उचित है। इसके अतिरिक्त, संभावित डेटा रिसाव बिंदुओं की पहचान करने और यदि आवश्यक हो तो अतिरिक्त सुरक्षा उपाय लागू करने के लिए eventsource लाइब्रेरी का उपयोग करने वाले कोड की समीक्षा करें। संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में भी मदद कर सकती है। इस अपडेट को व्यापक भेद्यता प्रबंधन रणनीति के हिस्से के रूप में शामिल किया जाना चाहिए।
Actualice la biblioteca eventsource a la versión 2.0.2 o superior. Esto corrige la vulnerabilidad que permite la exposición de información sensible antes de ser almacenada o transferida.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
eventsource एक जावास्क्रिप्ट लाइब्रेरी है जो EventSource प्रोटोकॉल को लागू करती है, जो सर्वर और वेब क्लाइंट के बीच रीयल-टाइम संचार को सक्षम करती है।
यदि आपका एप्लिकेशन eventsource के v2.0.2 से पहले के संस्करण का उपयोग करता है और संवेदनशील डेटा को संभालता है, तो आपको डेटा रिसाव का जोखिम है।
एक अस्थायी उपाय के रूप में, सख्त एक्सेस नियंत्रण लागू करने और संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी करने पर विचार करें।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) वेबसाइट पर CVE-2022-1650 पृष्ठ पर अधिक जानकारी पा सकते हैं।
कुछ स्थैतिक एप्लिकेशन सुरक्षा परीक्षण (SAST) उपकरण इस भेद्यता का पता लगा सकते हैं। अधिक जानकारी के लिए अपने SAST उपकरण के दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।