Platform
nodejs
Component
parse-url
Opgelost in
7.0.0
CVE-2022-2216 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de parse-url Node.js module. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde verzoeken te initiëren via de server, mogelijk toegang te krijgen tot interne bronnen die anders niet toegankelijk zouden zijn. De kwetsbaarheid treft versies van parse-url kleiner of gelijk aan 7.0.0. Een patch is beschikbaar in versie 7.0.0.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan ernstige gevolgen hebben. Aanvallers kunnen interne services blootleggen die niet direct toegankelijk zijn vanaf het internet. Dit omvat potentieel toegang tot databases, interne API's en andere gevoelige systemen. De aanvalsvector kan worden gebruikt om gevoelige data te exfiltreren, configuratiebestanden te downloaden of zelfs interne services te misbruiken voor verdere aanvallen. De impact is vergelijkbaar met andere SSRF kwetsbaarheden waarbij interne netwerkbronnen onbedoeld worden blootgesteld. De ernst van de impact hangt af van de gevoeligheid van de interne systemen en de privileges van de account die de verzoeken uitvoert.
CVE-2022-2216 is openbaar bekend en er zijn geen bekende actieve campagnes gerapporteerd. Er zijn geen publieke proof-of-concept exploits beschikbaar op het moment van schrijven. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). De NVD publicatiedatum is 2022-06-27.
Applications built with Node.js that utilize the parse-url package, particularly those handling user-supplied URLs without proper validation, are at significant risk. This includes web applications, APIs, and backend services. Projects relying on older versions of Node.js or using outdated dependency management practices are also more vulnerable.
• nodejs / server:
npm list parse-urlIf the output shows a version less than 7.0.0, the system is vulnerable. • nodejs / server:
npm audit parse-urlThis command will identify the vulnerability and suggest an upgrade. • generic web: Inspect application logs for unusual outbound HTTP requests originating from the application server. Look for requests to unexpected internal or external IP addresses or domains.
disclosure
Exploit Status
EPSS
0.32% (55% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2022-2216 is het upgraden van de parse-url module naar versie 7.0.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om verzoeken te filteren en te blokkeren die verdachte URL's bevatten. Configureer de WAF om verzoeken te blokkeren die interne IP-adressen of domeinnamen bevatten. Controleer de configuratie van de applicatie die parse-url gebruikt om te zorgen dat URL's correct worden gevalideerd en gesanitiseerd. Na de upgrade, controleer de applicatielogboeken op ongebruikelijke verzoeken om te bevestigen dat de kwetsbaarheid is verholpen.
Actualiseer de `parse-url` afhankelijkheid naar versie 7.0.0 of hoger. Dit corrigeert de SSRF-vulnerability. Voer `npm install parse-url@latest` of `yarn add parse-url@latest` uit om te actualiseren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2022-2216 is a critical Server-Side Request Forgery (SSRF) vulnerability affecting versions of the parse-url Node.js package prior to 7.0.0, allowing attackers to make requests to unintended destinations.
You are affected if your project uses parse-url version 7.0.0 or earlier. Check your package.json file and run npm list parse-url to verify.
Upgrade the parse-url package to version 7.0.0 or later using npm install [email protected].
While no confirmed active exploitation campaigns are publicly known, the CRITICAL severity and availability of PoCs suggest a high likelihood of exploitation.
Refer to the official parse-url repository on GitHub for updates and advisories: https://github.com/ionicabizau/parse-url
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.