Platform
nodejs
Component
logkitty
Opgelost in
0.7.2
0.7.1
CVE-2020-8149 beschrijft een kwetsbaarheid voor shell command execution in de logkitty npm package. Deze kwetsbaarheid is het gevolg van een gebrek aan output sanitatie, waardoor een aanvaller in staat is om willekeurige shell commando's uit te voeren. De kwetsbaarheid treft versies van logkitty die ouder zijn dan 0.7.1. Een update naar versie 0.7.1 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2020-8149 kan leiden tot volledige controle over het systeem waarop de logkitty package draait. Een aanvaller kan willekeurige commando's uitvoeren met de privileges van de gebruiker die de package draait. Dit kan resulteren in data-exfiltratie, systeemcompromittering en verdere aanval op andere systemen binnen het netwerk. De impact is aanzienlijk, vooral in omgevingen waar logkitty wordt gebruikt in kritieke applicaties of infrastructuur.
CVE-2020-8149 werd publiekelijk bekendgemaakt op 5 juni 2020. Er zijn publieke proof-of-concept exploits beschikbaar, wat de kans op actieve exploitatie vergroot. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat de urgentie van mitigatie onderstreept. Er zijn geen bekende actieve campagnes gerapporteerd, maar de beschikbaarheid van PoCs maakt het een aantrekkelijk doelwit voor aanvallers.
Node.js developers and DevOps teams are at risk, particularly those using logkitty for logging purposes within their applications. Projects utilizing third-party libraries that depend on logkitty are also indirectly affected. Shared hosting environments where multiple applications share the same Node.js installation are especially vulnerable.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object -ExpandProperty CommandLine | Select-String -Pattern 'logkitty'• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter 'node_modules\logkitty' | ForEach-Object { Get-Content $_.FullName }disclosure
patch
Exploit Status
EPSS
2.04% (84% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2020-8149 is het upgraden van de logkitty package naar versie 0.7.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om de output van logkitty te filteren en potentieel schadelijke commando's te blokkeren. Controleer ook de permissies van de gebruiker die de package draait en beperk deze tot het absolute minimum. Na de upgrade, verifieer de fix door te proberen een shell commando uit te voeren via de logkitty interface; dit zou moeten mislukken.
Actualiseer het logkitty pakket naar versie 0.7.1 of hoger. Dit zal de uitvoer sanitatie kwetsbaarheid oplossen die willekeurige commando-uitvoering mogelijk maakt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2020-8149 is a critical vulnerability in the logkitty npm package allowing attackers to execute arbitrary shell commands due to insufficient output sanitization. This impacts Node.js applications using versions prior to 0.7.1.
You are affected if your Node.js project uses the logkitty package in a version earlier than 0.7.1. Check your package.json file to determine your current version.
Upgrade the logkitty package to version 0.7.1 or later using npm: npm install logkitty@latest.
While confirmed active exploitation is not publicly documented, the vulnerability's severity and readily available proof-of-concept exploits suggest a high probability of exploitation.
Refer to the npm advisory for CVE-2020-8149: https://www.npmjs.com/advisories/1237
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.