Platform
nodejs
Component
node-fetch
Opgelost in
3.1.1
CVE-2022-0235 beschrijft een kwetsbaarheid in de node-fetch bibliotheek, die resulteert in de blootstelling van gevoelige informatie aan ongeautoriseerde actoren. Deze kwetsbaarheid kan leiden tot het inwinnen van gevoelige data door aanvallers. De kwetsbaarheid treft versies van node-fetch tot en met 3.1.1. Een fix is beschikbaar in versie 3.1.1.
Deze kwetsbaarheid stelt aanvallers in staat om gevoelige informatie te verkrijgen die anders beschermd zou moeten zijn. Dit kan bijvoorbeeld geheime sleutels, API-tokens of andere vertrouwelijke gegevens omvatten die door de applicatie worden gebruikt. De impact kan variëren afhankelijk van de aard van de blootgelegde informatie en de context waarin node-fetch wordt gebruikt. Een succesvolle exploitatie kan leiden tot datalekken, ongeautoriseerde toegang tot systemen en andere ernstige gevolgen. Het is vergelijkbaar met situaties waarin configuratiebestanden onbedoeld toegankelijk zijn via een webserver.
Deze kwetsbaarheid is openbaar bekend en er zijn geen bekende actieve campagnes gerapporteerd. Er zijn geen publieke proof-of-concept exploits beschikbaar op het moment van schrijven. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. De publicatiedatum van de CVE is 2022-01-16.
Applications built with Node.js that utilize the node-fetch library are at risk. This includes web applications, APIs, and backend services that rely on node-fetch for making HTTP requests. Specifically, applications that handle sensitive data or interact with external APIs are particularly vulnerable.
• nodejs / server:
npm list node-fetch• nodejs / server:
npm audit node-fetch• nodejs / server: Check package.json for versions <= 3.1.1 • nodejs / server: Review application logs for unusual HTTP requests or error messages related to header processing.
disclosure
Exploit Status
EPSS
0.53% (67% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2022-0235 is het upgraden van node-fetch naar versie 3.1.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om de toegang tot de kwetsbare endpoint te blokkeren. Controleer de configuratie van uw applicatie om te verzekeren dat er geen gevoelige informatie wordt blootgesteld via node-fetch. Verder is het raadzaam om de toegang tot de applicatie te beperken tot geautoriseerde gebruikers en systemen. Na de upgrade, verifieer de fix door te controleren of de gevoelige informatie niet langer toegankelijk is via de kwetsbare endpoint.
Werk de node-fetch afhankelijkheid bij naar versie 3.1.1 of hoger. Dit zal de kwetsbaarheid van blootstelling van gevoelige informatie oplossen. Voer `npm install node-fetch@latest` of `yarn upgrade node-fetch@latest` uit om bij te werken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2022-0235 is a HIGH severity vulnerability affecting node-fetch versions up to 3.1.1, allowing attackers to extract sensitive information through crafted HTTP requests.
You are affected if your Node.js application uses node-fetch version 3.1.1 or earlier. Check your package.json file to determine your version.
Upgrade to node-fetch version 3.1.1 or later. If immediate upgrade is not possible, implement header validation workarounds in your application code.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's ease of exploitation makes it a potential target.
Refer to the node-fetch GitHub repository and npm advisory for details: https://github.com/node-fetch/node-fetch/issues/1377
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.