Plataforma
nodejs
Componente
qs
Corrigido em
1.0.0
A vulnerabilidade CVE-2014-7191 afeta a biblioteca qs para Node.js, em versões anteriores a 1.0.0. Um ataque bem-sucedido pode levar a uma condição de negação de serviço (DoS), onde o processamento de strings maliciosas resulta em um consumo excessivo de memória e, eventualmente, no travamento da aplicação. A atualização para a versão 1.0.0 ou superior resolve essa vulnerabilidade.
Um atacante pode explorar essa vulnerabilidade enviando uma string especialmente criada para a aplicação Node.js que utiliza a biblioteca qs. Essa string, ao ser deserializada, gera grandes arrays esparsos, consumindo uma quantidade significativa de memória. O esgotamento da memória pode levar ao travamento da aplicação, tornando-a indisponível para usuários legítimos. O impacto é a interrupção do serviço e potencial perda de dados, dependendo da criticidade da aplicação afetada. A ausência de tratamento adequado para strings de entrada permite a exploração desta falha.
Esta vulnerabilidade foi divulgada em 2017. Não há evidências de exploração ativa em campanhas direcionadas. A vulnerabilidade não está listada no KEV da CISA. A probabilidade de exploração é considerada baixa devido à idade da vulnerabilidade e à disponibilidade de uma correção.
Applications built with Node.js that utilize the qs module and are running versions prior to 1.0.0 are at risk. This includes web applications, APIs, and any other Node.js-based services that process external input data without proper validation.
• nodejs / server:
npm list qs• nodejs / server:
npm audit qs• nodejs / server: Check application logs for errors related to memory exhaustion or crashes after processing input data.
discovery
disclosure
Status do Exploit
EPSS
0.69% (percentil 72%)
A mitigação primária para CVE-2014-7191 é atualizar a biblioteca qs para a versão 1.0.0 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar um limite no tamanho das strings de entrada processadas pela biblioteca qs. Além disso, a implementação de um sistema de monitoramento de consumo de memória pode ajudar a detectar e responder a ataques DoS em tempo real. Após a atualização, confirme a correção verificando se a aplicação processa strings maliciosas sem consumir memória excessiva.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2014-7191 is a denial-of-service vulnerability in the qs Node.js module. A crafted input string can cause excessive memory usage, leading to application crashes.
You are affected if your application uses the qs module and is running a version prior to 1.0.0. Check your project dependencies to determine if you are vulnerable.
Upgrade the qs module to version 1.0.0 or later using npm install qs@latest. Consider input validation as an interim measure.
There are currently no confirmed reports of active exploitation of CVE-2014-7191, but it remains a potential risk.
Refer to the Node Security Project advisory for details: https://www.npmjs.com/advisories/773
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.