Platform
nodejs
Component
parse-url
Opgelost in
8.1.0
CVE-2022-2900 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de parse-url bibliotheek, een populaire Node.js module voor het parsen van URL's. Deze kwetsbaarheid stelt een aanvaller in staat om verzoeken te initiëren vanuit de server, waardoor mogelijk toegang tot interne bronnen of diensten verkregen kan worden. De kwetsbaarheid treft versies van parse-url kleiner of gelijk aan 8.1.0. Een patch is beschikbaar in versie 8.1.0.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet, zoals databases, interne API's of beheerdersinterfaces. Dit kan leiden tot data-exfiltratie, configuratiewijzigingen, of zelfs volledige controle over de server. De impact is vergelijkbaar met andere SSRF-kwetsbaarheden, waarbij de aanvaller de server misbruikt om verzoeken naar interne bronnen te sturen, alsof de server zelf de verzoeken initieert. De blast radius is afhankelijk van de interne systemen die toegankelijk zijn via de SSRF.
CVE-2022-2900 werd publiek bekendgemaakt op 14 september 2022. Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid misbruiken, maar de SSRF-aard ervan maakt het een aantrekkelijk doelwit voor aanvallers. Er zijn publieke proof-of-concept exploits beschikbaar, wat de kans op misbruik vergroot. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Applications built with Node.js that utilize the parse-url package are at risk. This includes web applications, APIs, and backend services that process URLs from external sources. Projects relying on older versions of parse-url without robust input validation are particularly vulnerable.
• nodejs / server:
npm list parse-url
# Check for versions <= 8.1.0• nodejs / server:
find /usr/local/lib/node_modules /opt/node_modules -name "parse-url" -print0 | xargs -0 grep -i "//internal.example.com"
# Look for internal URLs in the package codedisclosure
Exploit Status
EPSS
0.43% (63% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2022-2900 is het upgraden van de parse-url bibliotheek naar versie 8.1.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om uitgaande verzoeken te filteren en te beperken. Configureer de WAF om verzoeken naar interne IP-adressen of onbekende domeinen te blokkeren. Controleer de configuratie van de applicatie die parse-url gebruikt om te verzekeren dat URL's correct worden gevalideerd en gesanitiseerd. Na de upgrade, verifieer de correcte werking van de applicatie en controleer de logs op onverwachte verzoeken.
Actualiseer de afhankelijkheid 'parse-url' naar versie 8.1.0 of hoger. Dit corrigeert de SSRF-vulnerability. Voer 'npm install parse-url@latest' of 'yarn add parse-url@latest' uit om te actualiseren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2022-2900 is a critical Server-Side Request Forgery (SSRF) vulnerability affecting versions of the parse-url Node.js package up to 8.1.0, allowing attackers to make requests to unintended resources.
If your Node.js project uses parse-url version 8.1.0 or earlier, you are potentially affected. Check your dependencies with npm list parse-url.
Upgrade the parse-url package to version 8.1.0 or later using npm install parse-url@latest. Implement input validation as a temporary workaround if upgrading is not immediately possible.
While no confirmed active exploitation campaigns are publicly known, the SSRF nature of the vulnerability makes it a potential target for attackers.
Refer to the parse-url repository on GitHub for updates and advisories: https://github.com/ionicabizau/parse-url
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.