प्लेटफ़ॉर्म
nodejs
घटक
decode-uri-component
में ठीक किया गया
0.2.1
CVE-2022-38900, decode-uri-component लाइब्रेरी के 0.2.0 संस्करण में एक Denial of Service (DoS) भेद्यता है। यह अनुचित इनपुट सत्यापन के कारण होता है, जिससे सेवा बाधित हो सकती है। यह भेद्यता decode-uri-component के 0.2.0 संस्करण को प्रभावित करती है और संस्करण 0.2.1 में ठीक की गई है।
CVE-2022-38900, decode-uri-component लाइब्रेरी के 0.2.0 संस्करण में अनुचित इनपुट सत्यापन (Improper Input Validation) के कारण Denial of Service (DoS) हमला हो सकता है। इस भेद्यता का फायदा उठाकर, एक हमलावर विशेष रूप से तैयार किए गए URI घटकों को इनपुट के रूप में भेज सकता है। ये घटक लाइब्रेरी को अत्यधिक संसाधन-गहन प्रसंस्करण करने के लिए मजबूर कर सकते हैं, जिससे सिस्टम अस्थिर हो सकता है या क्रैश हो सकता है। हमलावर, यदि वे इस लाइब्रेरी का उपयोग करने वाले एप्लिकेशन को नियंत्रित करते हैं, तो वे एप्लिकेशन को अनुपलब्ध करा सकते हैं। डेटा की सीधी हानि की संभावना नहीं है, लेकिन सेवा बाधित होने से डेटा हानि हो सकती है यदि एप्लिकेशन महत्वपूर्ण डेटा को संसाधित कर रहा है। प्रभावित एप्लिकेशन की प्रकृति और आर्किटेक्चर के आधार पर, 'ब्लास्ट रेडियस' (blast radius) सीमित या व्यापक हो सकता है। उदाहरण के लिए, यदि लाइब्रेरी का उपयोग वेब सर्वर में किया जाता है, तो कई उपयोगकर्ताओं को प्रभावित किया जा सकता है। हमलावर को लक्षित सिस्टम पर विशेष विशेषाधिकारों की आवश्यकता नहीं हो सकती है, क्योंकि भेद्यता इनपुट सत्यापन में कमी के कारण उत्पन्न होती है।
CVE-2022-38900 के लिए अभी तक सार्वजनिक रूप से कोई शोषण रिपोर्ट (KEV - Known Exploitation) नहीं है। इसका मतलब है कि इस भेद्यता का सक्रिय रूप से शोषण करने का कोई ज्ञात मामला नहीं है। हालांकि, इसका मतलब यह नहीं है कि भेद्यता का शोषण नहीं किया जा सकता है। एक सार्वजनिक प्रमाण-अवधारणा (Proof-of-Concept - PoC) मौजूद नहीं है, लेकिन भेद्यता का विवरण इंगित करता है कि एक हमलावर विशेष रूप से तैयार किए गए इनपुट का उपयोग करके DoS स्थिति उत्पन्न कर सकता है। भेद्यता की गंभीरता (CVSS स्कोर 7.5 - HIGH) और सार्वजनिक शोषण की कमी के कारण, तत्काल कार्रवाई की आवश्यकता है, लेकिन अत्यधिक तत्काल नहीं। लाइब्रेरी का उपयोग करने वाले सभी एप्लिकेशन को जल्द से जल्द अपग्रेड किया जाना चाहिए।
एक्सप्लॉइट स्थिति
EPSS
0.61% (70% शतमक)
CVSS वेक्टर
CVE-2022-38900 को ठीक करने का सबसे सीधा तरीका decode-uri-component लाइब्रेरी को संस्करण 0.2.1 या उसके बाद के संस्करण में अपग्रेड करना है। इस संस्करण में भेद्यता को ठीक किया गया है। यदि अपग्रेड तुरंत संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट को मान्य करने के लिए अतिरिक्त सुरक्षा जांच लागू की जा सकती है, जैसे कि URI घटकों की लंबाई या संरचना को सीमित करना। हालांकि, यह ध्यान रखना महत्वपूर्ण है कि ये वर्कअराउंड पूरी तरह से सुरक्षित नहीं हो सकते हैं और लाइब्रेरी को अपग्रेड करने के लिए एक स्थायी समाधान के रूप में उपयोग नहीं किया जाना चाहिए। अपग्रेड करने के बाद, यह सत्यापित करना महत्वपूर्ण है कि भेद्यता ठीक हो गई है। आप लाइब्रेरी के इनपुट फ़ंक्शन को विशेष रूप से तैयार किए गए URI घटकों के साथ परीक्षण कर सकते हैं ताकि यह सुनिश्चित हो सके कि वे अब DoS स्थिति को ट्रिगर नहीं करते हैं। अपग्रेड प्रक्रिया को सावधानीपूर्वक योजनाबद्ध किया जाना चाहिए ताकि एप्लिकेशन की उपलब्धता को कम से कम किया जा सके।
Actualiza la librería decode-uri-component a la versión 0.2.1 o superior para mitigar la vulnerabilidad de denegación de servicio (DoS) causada por una validación de entrada incorrecta. Puedes hacerlo utilizando npm o yarn.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2022-38900 decode-uri-component लाइब्रेरी में एक भेद्यता है जो अनुचित इनपुट सत्यापन के कारण Denial of Service (DoS) हमले की अनुमति देती है।
decode-uri-component लाइब्रेरी के 0.2.0 संस्करण का उपयोग करने वाले एप्लिकेशन इस भेद्यता से प्रभावित हैं।
CVE-2022-38900 को ठीक करने के लिए decode-uri-component लाइब्रेरी को संस्करण 0.2.1 या उसके बाद के संस्करण में अपग्रेड करें।
CVE-2022-38900 के लिए अभी तक सार्वजनिक रूप से कोई शोषण रिपोर्ट नहीं है।
अधिक जानकारी के लिए, नेशनल वल्नेरेबिलिटी डेटाबेस (NVD) पर जाएँ: https://nvd.nist.gov/vuln/detail/CVE-2022-38900
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।