Plataforma
nodejs
Componente
printer
Corrigido em
0.0.2
Uma vulnerabilidade de injeção de comando foi descoberta na biblioteca printer para Node.js. Esta falha, presente nas versões 0.0.1 e anteriores, ocorre devido à falta de sanitização adequada dos argumentos de comando na função printDirect(). A exploração bem-sucedida permite a execução remota de código, comprometendo a integridade do sistema. A correção está disponível na versão 0.0.2.
A vulnerabilidade de injeção de comando em printer permite que um atacante execute comandos arbitrários no sistema onde a biblioteca está sendo utilizada. Isso pode levar ao roubo de dados confidenciais, instalação de malware, ou mesmo ao controle total do servidor. O impacto é severo, especialmente em ambientes de produção onde a biblioteca é utilizada para imprimir documentos diretamente. A falta de sanitização dos argumentos de comando significa que um atacante pode injetar comandos maliciosos que serão executados com as permissões do processo da biblioteca. A exploração pode ser realizada remotamente, tornando o ataque ainda mais perigoso.
A vulnerabilidade CVE-2014-3741 foi divulgada em 28 de novembro de 2017. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza crítica da vulnerabilidade e a facilidade de exploração a tornam um alvo potencial. A pontuação CVSS de 9.8 indica um alto risco de exploração. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento.
Applications and systems utilizing the printer Node.js module in versions 0.0.1 or earlier are at significant risk. This includes Node.js applications that rely on this module for printing functionality, particularly those deployed in production environments or handling sensitive data. Developers who have integrated this module into their projects should prioritize upgrading.
• nodejs / server:
npm list printerThis command will list installed versions of the printer module. Check if any instances are using version 0.0.1 or earlier.
• nodejs / server:
find / -name "printer.js" -o -name "node_modules/printer/*" -printThis command searches for files related to the printer module, which can help identify vulnerable deployments.
• nodejs / server:
ps aux | grep printerThis command lists processes that include "printer" in their name, which can help identify running instances of the vulnerable module.
discovery
disclosure
Status do Exploit
EPSS
1.87% (percentil 83%)
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar a biblioteca printer para a versão 0.0.2 ou superior, que corrige a falha de injeção de comando. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à função printDirect() e validar rigorosamente todos os argumentos de entrada. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear comandos suspeitos também pode ajudar a reduzir o risco. Verifique se a biblioteca está sendo utilizada em um ambiente isolado para limitar o impacto de uma possível exploração.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2014-3741 is a critical command injection vulnerability affecting versions 0.0.1 and earlier of the printer Node.js module, allowing attackers to execute arbitrary commands due to improper input sanitization.
You are affected if your Node.js application uses the printer module in version 0.0.1 or earlier. Check your dependencies immediately.
Upgrade the printer module to version 0.0.2 or later using npm install printer@latest.
While no widespread exploitation has been publicly confirmed, the vulnerability's severity makes it a potential target. Vigilance and prompt patching are crucial.
The vulnerability is documented in the National Vulnerability Database (NVD) at https://nvd.nist.gov/vuln/detail/CVE-2014-3741.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.