प्लेटफ़ॉर्म
nodejs
घटक
superjson
में ठीक किया गया
1.8.1
1.8.1
CVE-2022-23631 सुपरजसन में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता हमलावरों को बिना किसी प्रमाणीकरण के सर्वर पर मनमाना कोड चलाने की अनुमति देती है, जिससे डेटा चोरी या अन्य प्रणालियों पर हमला हो सकता है। यह भेद्यता सुपरजसन के संस्करणों को प्रभावित करती है जो 1.8.1 से पहले हैं और ब्लिट.js के संस्करण जो 0.45.3 से पहले हैं। सुपरजसन 1.8.1 और ब्लिट.js 0.45.3 में इस समस्या का समाधान किया गया है।
यह भेद्यता अत्यंत गंभीर है क्योंकि यह हमलावरों को सर्वर पर पूर्ण नियंत्रण प्रदान करती है। हमलावर डेटा चुरा सकते हैं, डेटा में हेरफेर कर सकते हैं, या अन्य प्रणालियों पर हमला कर सकते हैं। भेद्यता का फायदा उठाने के लिए, हमलावर को केवल एक ऐसे एंडपॉइंट को लक्षित करने की आवश्यकता होती है जो अनुरोध प्रसंस्करण के दौरान सुपरजसन का उपयोग करता है। ब्लिट.js के मामले में, यह कम से कम एक RPC कॉल होगा। इस भेद्यता का उपयोग सर्वर को पूरी तरह से समझौता करने और संवेदनशील जानकारी तक पहुंचने के लिए किया जा सकता है। यह भेद्यता लॉग4शेल जैसी शोषण पैटर्न के समान है, जहां एक साधारण अनुरोध सर्वर पर मनमाना कोड निष्पादित कर सकता है।
CVE-2022-23631 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर की जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) मौजूद हैं, जो इस भेद्यता का फायदा उठाने की संभावना को इंगित करता है। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Applications built with Blitz.js that utilize superjson for data parsing are particularly at risk. Any Node.js application relying on superjson for processing external data, especially in API endpoints or RPC calls, is also vulnerable. Shared hosting environments where multiple applications share the same server instance are at increased risk due to the potential for cross-application exploitation.
• nodejs / server:
npm list superjsonThis command will list installed versions of superjson. Check if the version is less than 1.8.1. • nodejs / server:
find / -name "superjson.js" -o -name "superjson.min.js" -printLocate superjson files on the system to identify potential vulnerable deployments. • nodejs / server:
grep -r 'superjson.parse' /path/to/your/appSearch for instances of superjson.parse within your application code, as this is a key function used in vulnerable scenarios.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.40% (61% शतमक)
CVSS वेक्टर
CVE-2022-23631 को कम करने के लिए, सुपरजसन को संस्करण 1.8.1 या बाद के संस्करण में अपग्रेड करना आवश्यक है। ब्लिट.js का उपयोग करने वाले, संस्करण 0.45.3 या बाद के संस्करण में अपग्रेड करें। यदि तत्काल अपग्रेड संभव नहीं है, तो वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके सुपरजसन द्वारा संसाधित इनपुट को फ़िल्टर करने पर विचार करें। यह इनपुट को मान्य करने और दुर्भावनापूर्ण कोड को निष्पादित करने से रोकने में मदद कर सकता है। इसके अतिरिक्त, सुपरजसन द्वारा उपयोग किए जाने वाले सभी इनपुट को सावधानीपूर्वक मान्य करें और सैनिटाइज करें।
सुपरजसन (superjson) के संस्करण को 1.8.1 या उससे ऊपर के संस्करण में अपडेट करें। यह प्रोटोटाइप प्रदूषण (prototype pollution) भेद्यता को ठीक करता है जो रिमोट कोड एग्जीक्यूशन (Remote Code Execution) की अनुमति देता है। `npm install superjson@latest` या `yarn add superjson@latest` चलाकर अपडेट करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2022-23631 सुपरजसन में एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो हमलावरों को सर्वर पर मनमाना कोड चलाने की अनुमति देती है।
यदि आप सुपरजसन के संस्करण 1.8.1 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं। ब्लिट.js के उपयोगकर्ताओं को संस्करण 0.45.3 या बाद के संस्करण में अपग्रेड करना चाहिए।
सुपरजसन को संस्करण 1.8.1 या बाद के संस्करण में अपग्रेड करें। ब्लिट.js के उपयोगकर्ताओं को संस्करण 0.45.3 या बाद के संस्करण में अपग्रेड करना चाहिए।
सार्वजनिक PoC उपलब्ध होने के कारण, इस भेद्यता का सक्रिय रूप से शोषण होने की संभावना है।
आप सुपरजसन सलाहकार यहां पा सकते हैं: [https://github.com/superjson/superjson/security/advisories/GHSA-589w-794x-465r](https://github.com/superjson/superjson/security/advisories/GHSA-589w-794x-465r)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।