प्लेटफ़ॉर्म
nodejs
घटक
parse-url
में ठीक किया गया
8.1.0
CVE-2022-2900 ionicabizau/parse-url मॉड्यूल में एक गंभीर सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को आंतरिक संसाधनों तक पहुंचने या दुर्भावनापूर्ण अनुरोध करने की अनुमति दे सकती है, जिससे संभावित रूप से संवेदनशील डेटा का खुलासा हो सकता है या सिस्टम को समझौता किया जा सकता है। यह भेद्यता parse-url के संस्करणों में मौजूद है जो 8.1.0 से कम या उसके बराबर हैं। संस्करण 8.1.0 में इस समस्या का समाधान किया गया है।
SSRF भेद्यता के कारण, एक हमलावर parse-url मॉड्यूल का उपयोग करके आंतरिक सेवाओं तक पहुंच प्राप्त कर सकता है जो सामान्य रूप से बाहरी दुनिया के लिए दुर्गम हैं। वे आंतरिक डेटाबेस, व्यवस्थापन इंटरफेस या अन्य संवेदनशील संसाधनों तक पहुंच सकते हैं। इसके अतिरिक्त, हमलावर parse-url मॉड्यूल का उपयोग दुर्भावनापूर्ण अनुरोध करने के लिए कर सकते हैं, जैसे कि आंतरिक नेटवर्क पर स्कैनिंग करना या बाहरी सेवाओं पर हमला करना। इस भेद्यता का उपयोग डेटा चोरी, सिस्टम समझौता या सेवा से इनकार करने के हमलों को लॉन्च करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो parse-url मॉड्यूल का उपयोग बाहरी स्रोतों से URL को पार्स करने के लिए करते हैं।
CVE-2022-2900 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं, लेकिन SSRF भेद्यताओं का इतिहास उन्हें शोषण के लिए आकर्षक बनाता है। यह भेद्यता Node.js वातावरण में मौजूद है, जो व्यापक रूप से उपयोग किया जाता है। KEV स्थिति और EPSS स्कोर अभी तक उपलब्ध नहीं हैं। इस CVE को 2022-09-14 को प्रकाशित किया गया था।
Applications built with Node.js that utilize the parse-url package are at risk. This includes web applications, APIs, and backend services that process URLs from external sources. Projects relying on older versions of parse-url without robust input validation are particularly vulnerable.
• nodejs / server:
npm list parse-url
# Check for versions <= 8.1.0• nodejs / server:
find /usr/local/lib/node_modules /opt/node_modules -name "parse-url" -print0 | xargs -0 grep -i "//internal.example.com"
# Look for internal URLs in the package codedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.43% (63% शतमक)
CVSS वेक्टर
CVE-2022-2900 को कम करने के लिए, parse-url मॉड्यूल को संस्करण 8.1.0 या उच्चतर में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके parse-url मॉड्यूल के माध्यम से भेजे गए अनुरोधों को फ़िल्टर कर सकते हैं। आप parse-url मॉड्यूल के कॉन्फ़िगरेशन को भी संशोधित कर सकते हैं ताकि यह केवल विश्वसनीय स्रोतों से URL को पार्स करे। इसके अतिरिक्त, आंतरिक सेवाओं को बाहरी दुनिया से एक्सेस करने से रोकने के लिए नेटवर्क सुरक्षा उपायों को लागू किया जाना चाहिए। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, parse-url मॉड्यूल के माध्यम से भेजे गए अनुरोधों का परीक्षण करें।
'parse-url' निर्भरता को संस्करण 8.1.0 या उससे ऊपर के संस्करण में अपडेट करें। यह SSRF भेद्यता को ठीक करता है। अपडेट करने के लिए 'npm install parse-url@latest' या 'yarn add parse-url@latest' चलाएँ।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2022-2900 ionicabizau/parse-url मॉड्यूल में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति देती है।
यदि आप parse-url मॉड्यूल के संस्करण 8.1.0 से कम या उसके बराबर का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
parse-url मॉड्यूल को संस्करण 8.1.0 या उच्चतर में तुरंत अपडेट करें।
अभी तक सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन SSRF भेद्यताओं का शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए ionicabizau/parse-url रिपॉजिटरी की जांच करें या GitHub पर संबंधित इश्यू देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।