Platform
nodejs
Component
dns-sync
Opgelost in
0.1.1
CVE-2017-16100 beschrijft een kritieke Command Injection kwetsbaarheid in de dns-sync bibliotheek. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige commando's uit te voeren op het systeem. De kwetsbaarheid treft versies van dns-sync vóór 0.1.1. Een upgrade naar de meest recente versie of het gebruik van een alternatieve DNS resolver is de aanbevolen oplossing.
De Command Injection kwetsbaarheid in dns-sync maakt het mogelijk voor een aanvaller om willekeurige commando's uit te voeren met de privileges van de proces dat dns-sync gebruikt. Dit kan leiden tot volledige controle over het getroffen systeem. Een aanvaller kan gevoelige gegevens stelen, malware installeren of het systeem gebruiken om aanvallen op andere systemen uit te voeren. De impact is bijzonder groot als dns-sync wordt gebruikt in een omgeving met hoge beveiliging of als het systeem toegang heeft tot gevoelige gegevens.
CVE-2017-16100 werd publiekelijk bekendgemaakt op 18 juli 2018. Er zijn publiekelijk beschikbare proof-of-concept exploits voor deze kwetsbaarheid. Hoewel er geen bevestigde gevallen van actieve exploitatie zijn gemeld, is de kwetsbaarheid kritiek vanwege de eenvoudige exploitatie en de potentieel verwoestende impact. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
Applications and systems utilizing the dns-sync package in Node.js environments are at risk, particularly those that accept external input that is processed by the resolve() method without proper sanitization. Development environments using older versions of dns-sync are also vulnerable.
• nodejs / server:
npm list dns-sync• nodejs / server:
npm audit dns-sync• nodejs / server:
grep -r 'dns-sync.resolve(' /path/to/your/projectdisclosure
Exploit Status
EPSS
5.34% (90% percentiel)
De primaire mitigatie voor CVE-2017-16100 is het upgraden van dns-sync naar versie 0.1.1 of hoger. Als een upgrade momenteel niet mogelijk is, overweeg dan het gebruik van een alternatieve DNS resolver. Vermijd het doorgeven van onbetrouwbare input aan de dns-sync.resolve() methode. Implementeer inputvalidatie en sanitatie om te voorkomen dat kwaadaardige commando's worden uitgevoerd. Controleer de configuratie van dns-sync om te zorgen dat er geen onnodige privileges worden verleend.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2017-16100 is a critical vulnerability in the dns-sync Node.js package that allows attackers to execute arbitrary commands on the system through the resolve() method.
You are affected if you are using a version of dns-sync prior to 0.1.1 and are not properly sanitizing input to the resolve() method.
Upgrade to version 0.1.1 or later of dns-sync. Alternatively, use a different DNS resolver.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the original vulnerability report and related security advisories for details: [https://nvd.nist.gov/vuln/detail/CVE-2017-16100](https://nvd.nist.gov/vuln/detail/CVE-2017-16100)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.