Plataforma
nodejs
Componente
growl
Corrigido em
1.10.0
A vulnerabilidade CVE-2017-16042 afeta o módulo growl para Node.js, permitindo a injeção de comandos. Essa falha ocorre devido à falta de sanitização adequada da entrada antes de passá-la para um comando shell, possibilitando a execução de código malicioso. Versões anteriores a 1.10.0 são vulneráveis e a correção foi implementada a partir desta versão.
Um atacante pode explorar essa vulnerabilidade para executar comandos arbitrários no sistema onde o módulo growl está sendo executado. Isso pode levar ao comprometimento completo do sistema, incluindo a leitura, modificação ou exclusão de dados sensíveis, instalação de malware e acesso não autorizado a outros recursos da rede. A injeção de comandos permite que o atacante assuma o controle do servidor Node.js, abrindo portas para ataques mais sofisticados e potencialmente afetando outros serviços dependentes.
A vulnerabilidade CVE-2017-16042 foi divulgada em 8 de junho de 2018. Embora não haja relatos públicos de exploração ativa em larga escala, a severidade crítica da vulnerabilidade e a facilidade de exploração a tornam um alvo atraente para atacantes. A ausência de um KEV listing indica que, até o momento, não foi considerada uma ameaça emergente de alto risco pelo CISA.
Applications and systems that rely on the growl Node.js module for notification functionality are at risk. This includes development environments, production servers, and any system where the module is integrated into custom applications. Specifically, systems that process untrusted user input and pass it directly to the growl module are particularly vulnerable.
• nodejs / server:
npm list growlIf the output shows a version less than 1.10.0, the system is vulnerable. • nodejs / server:
find / -name "growl*" -type d -printThis command searches for the growl module directory. Check the version within the directory. • nodejs / server:
npm audit | grep growlThis command checks for known vulnerabilities in the growl module using npm audit.
discovery
disclosure
patch
Status do Exploit
EPSS
0.35% (percentil 57%)
Vetor CVSS
A mitigação primária para CVE-2017-16042 é atualizar o módulo growl para a versão 1.10.0 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao módulo growl e monitorar o sistema em busca de atividades suspeitas. Não há workarounds de configuração, a atualização é essencial. Após a atualização, confirme a correção executando testes de segurança para garantir que a vulnerabilidade foi eliminada.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2017-16042 is a critical vulnerability in the growl Node.js module that allows attackers to execute arbitrary commands due to insufficient input sanitization.
You are affected if you are using a version of the growl Node.js module prior to 1.10.0. Check your installed version using npm list growl.
Upgrade the growl Node.js module to version 1.10.0 or later using npm install growl@latest.
While no active campaigns have been definitively linked, the vulnerability's ease of exploitation makes it a persistent risk.
Refer to the npm advisory for CVE-2017-16042: https://www.npmjs.com/advisories/791
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.