Plataforma
nodejs
Componente
hapi
Corrigido em
2.2.0
A vulnerabilidade CVE-2014-3742 é um problema de negação de serviço (DoS) que afeta as versões 2.0.x e 2.1.x do hapi, um framework web para Node.js. Um atacante pode explorar essa falha repetidamente para causar um vazamento de descritores de arquivo, esgotando os recursos do servidor e resultando na sua interrupção. A correção oficial está disponível na versão 2.2.0 do hapi.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante cause uma negação de serviço (DoS) no servidor hapi. Ao induzir repetidamente o vazamento de descritores de arquivo, o servidor eventualmente esgotará seus recursos, tornando-se incapaz de processar novas solicitações e, potencialmente, travando completamente. O impacto pode variar dependendo do limite de descritores de arquivo do processo, mas o resultado é a indisponibilidade do serviço. Não foram identificados outros efeitos colaterais ou explorações além da negação de serviço.
A vulnerabilidade CVE-2014-3742 foi publicada em 2017, mas a exploração ativa não é amplamente relatada. Não há evidências de que esta vulnerabilidade esteja presente no Catálogo de Vulnerabilidades Conhecidas (KEV) da CISA. A probabilidade de exploração é considerada baixa devido à sua idade e à disponibilidade de uma correção há vários anos. Não há public proof-of-concept (PoC) amplamente divulgado.
Status do Exploit
EPSS
0.73% (percentil 73%)
A mitigação primária para CVE-2014-3742 é atualizar o hapi para a versão 2.2.0 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas temporárias, como limitar o número de conexões simultâneas ou aumentar o limite de descritores de arquivo do processo. Monitore os logs do servidor em busca de padrões de vazamento de descritores de arquivo. Após a atualização, confirme a correção verificando se o servidor consegue lidar com o tráfego esperado sem apresentar problemas de desempenho ou interrupções.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2014-3742 is a denial-of-service vulnerability in hapi versions 2.0.x and 2.1.x. Repeated requests cause a file descriptor leak, crashing the server. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using hapi versions 2.0.x or 2.1.x. Check your hapi version using npm list -g hapi or node -e 'console.log(require("hapi").version())'. If the version is vulnerable, you need to upgrade.
Upgrade to hapi version 2.2.0 or later. This resolves the file descriptor leak. As a temporary workaround, implement rate limiting or monitor file descriptor usage.
There is no current evidence of active exploitation campaigns targeting CVE-2014-3742. However, systems running vulnerable versions remain at risk.
Refer to the hapi project's release notes and security advisories on their GitHub repository: https://github.com/hapijs/hapi/releases
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.