Plataforma
nodejs
Componente
dns-sync
Corrigido em
0.1.1
A vulnerabilidade CVE-2014-9682 é uma falha de Command Injection presente no módulo dns-sync para Node.js. Esta falha permite que atacantes executem comandos arbitrários no sistema, comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade afeta versões do dns-sync anteriores à 0.1.1 e pode ser mitigada atualizando para a versão corrigida.
Um atacante pode explorar esta vulnerabilidade injetando shell metacharacters no primeiro argumento da função resolve do módulo dns-sync. Isso permite a execução de comandos arbitrários com as permissões do processo Node.js, potencialmente levando ao comprometimento completo do servidor. A exploração bem-sucedida pode resultar em roubo de dados confidenciais, instalação de malware, ou até mesmo controle total do sistema. A natureza crítica da vulnerabilidade a torna um alvo atraente para atacantes, especialmente em ambientes de produção.
Esta vulnerabilidade foi divulgada publicamente em 2017. Embora não haja relatos confirmados de exploração ativa em larga escala, a natureza crítica da vulnerabilidade e a facilidade de exploração a tornam um risco significativo. Não está listada no KEV da CISA. A existência de um proof-of-concept público aumenta a probabilidade de exploração futura.
Applications built with Node.js that rely on the dns-sync module for DNS resolution are at risk. This includes web applications, APIs, and backend services. Specifically, older Node.js projects that haven't been regularly updated are particularly vulnerable, as are those using shared hosting environments where the underlying Node.js dependencies might not be managed by the application developer.
• nodejs / server:
npm list dns-sync | grep -i '0\.\d+.<0\.1\.1'• nodejs / server:
find / -name "dns-sync*" -type d -print• nodejs / server:
journalctl -u node | grep -i "dns-sync"discovery
disclosure
Status do Exploit
EPSS
1.04% (percentil 77%)
A mitigação primária para CVE-2014-9682 é atualizar o módulo dns-sync para a versão 0.1.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar um firewall de aplicação web (WAF) para filtrar solicitações que contenham shell metacharacters no argumento da função resolve. Além disso, revise e restrinja as permissões do processo Node.js para minimizar o impacto de uma possível exploração. Após a atualização, confirme a correção executando testes de penetração para verificar se a vulnerabilidade foi efetivamente eliminada.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2014-9682 is a critical vulnerability in dns-sync versions before 0.1.1 that allows attackers to execute arbitrary commands via shell metacharacters in the resolve API function, potentially leading to full system compromise.
You are affected if your Node.js application uses the dns-sync module and is running a version prior to 0.1.1. Check your project dependencies immediately.
Upgrade the dns-sync module to version 0.1.1 or later using npm: npm install dns-sync@latest.
While active exploitation campaigns are not definitively confirmed, the ease of exploitation makes it a potential target. Monitor your systems for suspicious activity.
Refer to the npm advisory and related security reports for details: https://www.npmjs.com/advisories/612
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.