1.9.2
1.9.1
CVE-2019-5413 beschrijft een kritieke code-injectie kwetsbaarheid in de morgan Node.js module. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige code uit te voeren door middel van prototype pollution, vooral wanneer gebruikersinvoer direct in de filter wordt gebruikt. De kwetsbaarheid treft versies van morgan die ouder zijn dan 1.9.1. Een update naar versie 1.9.1 of hoger is vereist om de kwetsbaarheid te verhelpen.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie kan leiden tot volledige overname van de server waarop de kwetsbare morgan module draait. Aangezien morgan vaak wordt gebruikt voor logging in Node.js applicaties, kan een aanval via deze module toegang verlenen tot gevoelige informatie, zoals API-sleutels, database credentials en andere vertrouwelijke gegevens. Prototype pollution, gecombineerd met de mogelijkheid om gebruikersinvoer direct in de filter te gebruiken, maakt deze kwetsbaarheid bijzonder gevaarlijk. Het is vergelijkbaar met andere code-injectie kwetsbaarheden waarbij de controle over de applicatie kan worden overgenomen.
Deze kwetsbaarheid is publiekelijk bekend en er zijn waarschijnlijk proof-of-concept exploits beschikbaar. Het is niet bekend of deze kwetsbaarheid actief wordt misbruikt in de wildernis, maar de hoge CVSS score en de relatieve eenvoud van de exploitatie maken het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid werd publiekelijk bekendgemaakt op 25 maart 2019.
Applications built with Node.js that utilize the morgan module for logging, particularly those that allow user-supplied data to influence the logging format, are at risk. This includes web applications, APIs, and backend services. Shared hosting environments where users can influence application configuration are also particularly vulnerable.
• nodejs / server:
npm list morgan• nodejs / server:
npm audit• nodejs / server: Check package.json for morgan versions < 1.9.1. Review application code for usage of morgan's filter function with unsanitized user input.
disclosure
Exploit Status
EPSS
1.95% (83% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van de morgan module naar versie 1.9.1 of hoger. Indien een directe upgrade niet mogelijk is vanwege compatibiliteitsproblemen, overweeg dan het implementeren van input validatie en sanitatie om te voorkomen dat gebruikersinvoer direct in de filter wordt gebruikt. WAF-regels kunnen worden ingesteld om pogingen tot prototype pollution te detecteren en te blokkeren. Het is belangrijk om de configuratie van morgan te beoordelen en te zorgen voor een veilige configuratie waarbij gebruikersinvoer niet direct in de filter wordt gebruikt.
Werk het morgan pakket bij naar versie 1.9.1 of hoger. Dit corrigeert de command injectie kwetsbaarheid. Voer `npm install morgan@latest` uit om bij te werken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-5413 is a critical code injection vulnerability in the Morgan Node.js module, allowing attackers to execute arbitrary code through prototype pollution if user input is improperly handled.
You are affected if you are using a version of Morgan prior to 1.9.1 and your application allows user input to influence the logging format.
Upgrade the Morgan module to version 1.9.1 or later. If immediate upgrade is not possible, sanitize user input passed to the filter function.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and potential impact warrant immediate attention and remediation.
Refer to the Morgan project's repository and related security advisories for detailed information and updates: https://github.com/expressjs/morgan
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.