Platform
nodejs
Component
superjson
Opgelost in
1.8.1
1.8.1
CVE-2022-23631 is een kritieke Remote Code Execution (RCE) kwetsbaarheid in de superjson bibliotheek. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige code uit te voeren op servers die superjson gebruiken, zonder authenticatie. Aangetaste versies zijn die vóór 1.8.1. Een patch is beschikbaar in superjson 1.8.1 en Blitz.js 0.45.3.
Deze kwetsbaarheid is kritiek omdat het de mogelijkheid biedt om willekeurige code uit te voeren op elke server die superjson gebruikt voor inputverwerking, inclusief Blitz.js servers. Aanvallers kunnen volledige controle over de server verkrijgen, waardoor ze data kunnen stelen en manipuleren of verdere systemen kunnen aanvallen. De enige vereiste is dat de server ten minste één endpoint implementeert die superjson gebruikt tijdens de verwerking van verzoeken. In het geval van Blitz.js, zou dit ten minste één RPC-oproep zijn. Dit betekent dat een succesvolle exploitatie kan leiden tot een compromittering van de volledige serveromgeving en de data die daarop is opgeslagen.
Deze kwetsbaarheid is publiekelijk bekend en er zijn waarschijnlijk Proof-of-Concept exploits beschikbaar. Er is geen informatie over actieve campagnes bekend, maar de kritieke ernst en de eenvoudige exploitatie maken het een aantrekkelijk doelwit. De kwetsbaarheid is gepubliceerd op 2022-02-09.
Applications built with Blitz.js that utilize superjson for data parsing are particularly at risk. Any Node.js application relying on superjson for processing external data, especially in API endpoints or RPC calls, is also vulnerable. Shared hosting environments where multiple applications share the same server instance are at increased risk due to the potential for cross-application exploitation.
• nodejs / server:
npm list superjsonThis command will list installed versions of superjson. Check if the version is less than 1.8.1. • nodejs / server:
find / -name "superjson.js" -o -name "superjson.min.js" -printLocate superjson files on the system to identify potential vulnerable deployments. • nodejs / server:
grep -r 'superjson.parse' /path/to/your/appSearch for instances of superjson.parse within your application code, as this is a key function used in vulnerable scenarios.
disclosure
Exploit Status
EPSS
0.40% (61% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden naar de gepatchte versies: superjson 1.8.1 en Blitz.js 0.45.3. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om verdachte input te filteren en te blokkeren. Controleer de superjson input op onverwachte of kwaadaardige data. Implementeer strenge inputvalidatie op alle endpoints die superjson gebruiken. Na de upgrade, verifieer de fix door te proberen een payload te injecteren via een superjson inputveld en te controleren of de code niet wordt uitgevoerd.
Actualiseer de versie van superjson naar 1.8.1 of hoger. Dit corrigeert de prototype pollution kwetsbaarheid die remote code execution mogelijk maakt. Voer `npm install superjson@latest` of `yarn add superjson@latest` uit om te updaten.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2022-23631 is een kritieke Remote Code Execution kwetsbaarheid in de superjson bibliotheek, waardoor aanvallers willekeurige code op servers kunnen uitvoeren.
U bent getroffen als u een versie van superjson gebruikt die vóór 1.8.1 is, en uw server endpoints superjson gebruiken voor inputverwerking.
Upgrade naar superjson 1.8.1 of Blitz.js 0.45.3. Implementeer indien mogelijk een WAF en strenge inputvalidatie.
Er is geen bevestigde actieve exploitatie bekend, maar de kritieke ernst en eenvoudige exploitatie maken het een aantrekkelijk doelwit.
Raadpleeg de superjson GitHub repository voor details: https://github.com/bumbagdh/superjson/security/advisories/CVE-2022-23631
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.