Platform
nodejs
Component
serialize-to-js
Opgelost in
3.0.1
3.0.1
CVE-2019-16772 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in de serialize-to-js Node.js package. Deze kwetsbaarheid maakt het mogelijk voor aanvallers schadelijke scripts uit te voeren in de context van een gebruiker. De kwetsbaarheid treedt op in versies van serialize-to-js vóór 3.0.1, en is niet van invloed op Node.js applicaties. Upgrade naar versie 3.0.1 of hoger om deze kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze XSS kwetsbaarheid kan leiden tot het stelen van gevoelige informatie, zoals cookies en sessiegegevens. Aanvallers kunnen deze informatie gebruiken om zich voor te doen als de gebruiker en ongeautoriseerde acties uit te voeren. De impact is afhankelijk van de context waarin de serialize-to-js package wordt gebruikt. Als de package wordt gebruikt in een webapplicatie die gevoelige informatie verwerkt, kan de impact aanzienlijk zijn. Het is belangrijk op te merken dat deze kwetsbaarheid specifiek van toepassing is op de serialize-to-js package en niet op Node.js zelf.
Deze kwetsbaarheid is publiekelijk bekend en er zijn geen bekende actieve campagnes gerelateerd aan CVE-2019-16772. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en de CVSS score is LOW. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend, maar de kwetsbaarheid is eenvoudig te exploiteren door een kwaadwillende actor met kennis van XSS technieken.
Applications built with Node.js that utilize the serialize-to-js package for data serialization, particularly those where the serialized data is rendered on the client-side without proper escaping, are at risk. Developers who have not recently reviewed their dependencies are also at increased risk.
• nodejs / server:
npm list serialize-to-jsIf the output shows a version less than 3.0.1, the system is vulnerable. • nodejs / server:
npm audit serialize-to-jsThis command will identify vulnerable versions and suggest upgrades.
• generic web: Examine application code for usage of serialize-to-js and ensure proper input validation and output encoding are implemented.
disclosure
Exploit Status
EPSS
0.30% (53% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2019-16772 is het upgraden van de serialize-to-js package naar versie 3.0.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van inputvalidatie en output encoding om de impact van de kwetsbaarheid te verminderen. Dit kan worden bereikt door alle input die wordt verwerkt door de serialize-to-js package te sanitiseren en te escapen. Na de upgrade, controleer de functionaliteit van de applicatie om er zeker van te zijn dat de upgrade geen onverwachte problemen veroorzaakt.
Actualice el paquete serialize-to-js a la versión 3.0.1 o superior. Esto corrige la vulnerabilidad XSS al mitigar correctamente los caracteres inseguros en las expresiones regulares serializadas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-16772 is a Cross-Site Scripting (XSS) vulnerability in the serialize-to-js Node.js package, caused by improper sanitization of serialized regular expressions.
You are affected if your project uses serialize-to-js versions prior to 3.0.1. Check your dependencies using npm list serialize-to-js or npm audit serialize-to-js.
Upgrade the serialize-to-js package to version 3.0.1 or later using npm install serialize-to-js@latest.
There are currently no known active exploitation campaigns targeting CVE-2019-16772, but the vulnerability's nature makes it a potential target.
Refer to the npm advisory for CVE-2019-16772: https://www.npmjs.com/advisories/1201
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.