Platform
nodejs
Component
follow-redirects
Opgelost in
1.14.7
CVE-2022-0155 beschrijft een kwetsbaarheid in de follow-redirects Node.js module, waardoor ongeautoriseerde actoren toegang kunnen krijgen tot persoonlijke informatie. Deze kwetsbaarheid kan leiden tot blootstelling van gevoelige data. De kwetsbaarheid treft versies van follow-redirects tot en met 1.14.7. Een patch is beschikbaar in versie 1.14.7.
De kwetsbaarheid in follow-redirects stelt aanvallers in staat om persoonlijke informatie bloot te leggen. Dit kan gebeuren door middel van manipulatie van redirects, waardoor de applicatie gevoelige data naar een onbedoelde locatie stuurt. De impact kan variëren afhankelijk van de gevoeligheid van de data die wordt verwerkt door de applicatie die follow-redirects gebruikt. Een succesvolle exploitatie kan leiden tot identiteitsdiefstal, reputatieschade en inbreuk op de privacy van gebruikers. De omvang van de schade is afhankelijk van de data die wordt blootgesteld en de toegang die de aanvaller verkrijgt.
De kwetsbaarheid is publiekelijk bekend sinds 2022-01-10. Er zijn geen bekende actieve campagnes gerapporteerd, maar het is aannemelijk dat aanvallers deze kwetsbaarheid kunnen exploiteren. Er zijn geen publieke proof-of-concept exploits beschikbaar op het moment van schrijven. De ernst van de kwetsbaarheid is hoog (CVSS score 8).
Exploit Status
EPSS
1.30% (80% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2022-0155 is het upgraden van de follow-redirects module naar versie 1.14.7 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om verdachte redirect-verzoeken te blokkeren. Controleer de configuratie van de applicatie om te verzekeren dat redirects worden gevalideerd en dat gevoelige data niet wordt blootgesteld. Na de upgrade, verifieer de fix door redirect-verzoeken te testen en te controleren of de data correct wordt verwerkt.
Werk de follow-redirects afhankelijkheid bij naar versie 1.14.7 of hoger. Dit corrigeert de kwetsbaarheid van blootstelling van persoonlijke privégegevens. Voer `npm install follow-redirects@latest` of `yarn upgrade follow-redirects@latest` uit om bij te werken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2022-0155 is a vulnerability in the follow-redirects package that allows unauthorized actors to potentially expose private personal information by improperly handling redirects.
Applications using versions of the follow-redirects package prior to 1.14.7 are potentially affected by this vulnerability.
Upgrade the follow-redirects package to version 1.14.7 or later to resolve this vulnerability.
As of now, there are no publicly available exploitation reports or proof-of-concept code for CVE-2022-0155.
Refer to the National Vulnerability Database (NVD) entry for CVE-2022-0155 at https://nvd.nist.gov/vuln/detail/CVE-2022-0155 for more information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.