Platform
nodejs
Component
eventsource
Opgelost in
2.0.2
2.0.2
2.0.2
CVE-2022-1650 beschrijft een informatielek in de eventsource bibliotheek voor Node.js. Deze kwetsbaarheid stelt aanvallers in staat om gevoelige informatie bloot te leggen door de manier waarop data wordt verwerkt. De kwetsbaarheid treft versies van eventsource van 0.0.0 tot en met v2.0.2. Een fix is beschikbaar in versie v2.0.2.
Deze kwetsbaarheid ontstaat doordat gevoelige data niet correct wordt verwijderd voordat deze wordt opgeslagen of verzonden. Een aanvaller kan deze onjuiste verwerking uitbuiten om toegang te krijgen tot deze data, wat kan leiden tot blootstelling van vertrouwelijke informatie. De impact kan variëren afhankelijk van de aard van de data die wordt verwerkt, maar kan in ernstige gevallen leiden tot schending van de privacy en reputatieschade. Het is vergelijkbaar met situaties waarin tijdelijke bestanden met gevoelige data onbedoeld toegankelijk blijven.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar in de GitHub repository. Er is geen indicatie van actieve exploitatie in de wild, maar het is belangrijk om de kwetsbaarheid te patchen vanwege de potentiële impact. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn publieke proof-of-concept (POC) beschikbaar.
Applications built using Node.js that rely on the eventsource library for event streaming or long-polling functionality are at risk. This includes web applications, backend services, and any other systems integrating this library. Developers who haven't recently reviewed their dependencies are particularly vulnerable.
• nodejs / server:
npm list eventsourceThis command will list the installed version of the eventsource library. If the version is less than v2.0.2, the system is vulnerable.
• nodejs / server:
npm audit eventsourceThis command will check for known vulnerabilities in the eventsource library and report any findings.
• generic web:
Review application code for instances where the eventsource library is used. Look for potential data leakage points where sensitive information might be passed to or from the library without proper sanitization.
disclosure
Exploit Status
EPSS
1.14% (78% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2022-1650 is het upgraden van de eventsource bibliotheek naar versie v2.0.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan om een Web Application Firewall (WAF) te implementeren die de data-uitvoer van de eventsource bibliotheek controleert op potentieel gevoelige informatie. Controleer ook de configuratie van uw Node.js applicatie om te verzekeren dat er geen onnodige data wordt blootgesteld. Na de upgrade, verifieer de fix door te controleren of gevoelige data niet langer wordt blootgesteld via de eventsource functionaliteit.
Werk de eventsource bibliotheek bij naar versie 2.0.2 of hoger. Dit corrigeert de kwetsbaarheid die de blootstelling van gevoelige informatie mogelijk maakt voordat deze wordt opgeslagen of overgedragen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2022-1650 is a HIGH severity information disclosure vulnerability affecting the eventsource library in Node.js applications. It allows sensitive data to be exposed due to improper removal before storage or transfer.
You are affected if your Node.js application uses the eventsource library in versions 0.0.0 through v2.0.2. Check your dependencies with npm list eventsource.
Upgrade the eventsource library to version v2.0.2 or later using npm install eventsource@latest.
There is currently no evidence of active exploitation campaigns targeting CVE-2022-1650, but it's crucial to patch promptly.
Refer to the GitHub repository eventsource/eventsource for details: https://github.com/eventsource/eventsource/issues/118
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.