प्लेटफ़ॉर्म
nodejs
घटक
parse-url
में ठीक किया गया
7.0.0
CVE-2022-2216 ionicabizau/parse-url लाइब्रेरी में एक गंभीर सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत रूप से आंतरिक संसाधनों तक पहुंचने और संभावित रूप से संवेदनशील डेटा निकालने की अनुमति दे सकती है। यह भेद्यता parse-url के संस्करणों 7.0.0 से पहले मौजूद है। संस्करण 7.0.0 में इस समस्या का समाधान किया गया है, इसलिए लाइब्रेरी को तुरंत अपडेट करने की सलाह दी जाती है।
SSRF भेद्यता का शोषण करने वाला एक हमलावर आंतरिक सेवाओं और संसाधनों तक पहुंच प्राप्त कर सकता है जो सामान्य रूप से बाहरी दुनिया के लिए दुर्गम हैं। यह डेटा चोरी, सिस्टम समझौता, या अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकता है। एक हमलावर आंतरिक नेटवर्क पर स्कैनिंग करने, संवेदनशील जानकारी उजागर करने या यहां तक कि आंतरिक सिस्टम पर कमांड निष्पादित करने के लिए इस भेद्यता का उपयोग कर सकता है। parse-url लाइब्रेरी का उपयोग करने वाले अनुप्रयोगों में SSRF भेद्यता का प्रभाव काफी व्यापक हो सकता है, क्योंकि यह कई अलग-अलग प्रकार के वेब अनुप्रयोगों में उपयोग किया जाता है।
CVE-2022-2216 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं, लेकिन SSRF भेद्यताएँ आमतौर पर शोषण योग्य होती हैं। यह भेद्यता KEV (CISA Known Exploited Vulnerabilities) में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन अभी तक व्यापक रूप से वितरित नहीं किए गए हैं। NVD (National Vulnerability Database) में 2022-06-27 को प्रकाशित किया गया था।
Applications built with Node.js that utilize the parse-url package, particularly those handling user-supplied URLs without proper validation, are at significant risk. This includes web applications, APIs, and backend services. Projects relying on older versions of Node.js or using outdated dependency management practices are also more vulnerable.
• nodejs / server:
npm list parse-urlIf the output shows a version less than 7.0.0, the system is vulnerable. • nodejs / server:
npm audit parse-urlThis command will identify the vulnerability and suggest an upgrade. • generic web: Inspect application logs for unusual outbound HTTP requests originating from the application server. Look for requests to unexpected internal or external IP addresses or domains.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.32% (55% शतमक)
CVSS वेक्टर
CVE-2022-2216 को कम करने का सबसे प्रभावी तरीका parse-url लाइब्रेरी को संस्करण 7.0.0 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं ताकि SSRF हमलों को ब्लॉक किया जा सके। WAF को उन अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर किया जाना चाहिए जो आंतरिक संसाधनों तक पहुंचने का प्रयास करते हैं। इसके अतिरिक्त, आप parse-url लाइब्रेरी के कॉन्फ़िगरेशन को सख्त कर सकते हैं ताकि यह केवल विश्वसनीय स्रोतों से अनुरोधों को संसाधित करे। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, लाइब्रेरी के नवीनतम संस्करण के साथ परीक्षण करें।
`parse-url` निर्भरता को संस्करण 7.0.0 या उससे ऊपर के संस्करण में अपडेट करें। यह SSRF भेद्यता को ठीक करता है। अपडेट करने के लिए `npm install parse-url@latest` या `yarn add parse-url@latest` चलाएँ।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2022-2216 ionicabizau/parse-url लाइब्रेरी में एक SSRF भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति दे सकती है।
यदि आप parse-url लाइब्रेरी के संस्करण 7.0.0 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
लाइब्रेरी को संस्करण 7.0.0 या बाद के संस्करण में अपडेट करें।
अभी तक सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन भेद्यता शोषण योग्य है।
आधिकारिक सलाहकार के लिए ionicabizau/parse-url रिपॉजिटरी की जाँच करें या GitHub पर संबंधित मुद्दे देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।