Plataforma
nodejs
Componente
dns-sync
Corrigido em
0.1.1
A vulnerabilidade CVE-2017-16100 é uma falha de injeção de comando presente no componente dns-sync. Esta falha permite a execução arbitrária de código através do método resolve(), comprometendo a segurança do sistema. Versões do dns-sync anteriores a 0.1.1 são afetadas. A atualização para a versão 0.1.1 resolve a vulnerabilidade.
Um atacante pode explorar esta vulnerabilidade para executar comandos arbitrários no sistema onde o dns-sync está em execução. Isso pode levar à obtenção de acesso não autorizado, roubo de dados confidenciais, instalação de malware ou até mesmo ao controle total do sistema. A injeção de comando permite que o atacante execute qualquer comando com as permissões do processo dns-sync, ampliando significativamente o potencial de dano. A ausência de validação adequada da entrada no método resolve() é a causa raiz da vulnerabilidade.
Esta vulnerabilidade foi divulgada publicamente em 2018. Não há evidências de exploração ativa em campanhas direcionadas, mas a facilidade de exploração a torna um alvo potencial. A vulnerabilidade está listada no NVD (National Vulnerability Database) e a pontuação CVSS é de 9.5 (CRITICAL), indicando um alto risco. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento.
Applications and systems utilizing the dns-sync package in Node.js environments are at risk, particularly those that accept external input that is processed by the resolve() method without proper sanitization. Development environments using older versions of dns-sync are also vulnerable.
• nodejs / server:
npm list dns-sync• nodejs / server:
npm audit dns-sync• nodejs / server:
grep -r 'dns-sync.resolve(' /path/to/your/projectdisclosure
Status do Exploit
EPSS
5.34% (percentil 90%)
A mitigação primária é atualizar o dns-sync para a versão 0.1.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere a implementação de um firewall de aplicação web (WAF) para filtrar solicitações maliciosas. Além disso, evite passar dados não confiáveis diretamente para a função dns-sync.resolve(). Monitore logs do sistema em busca de atividades suspeitas relacionadas à execução de comandos. Após a atualização, confirme a correção verificando a versão instalada do dns-sync com npm list dns-sync.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2017-16100 is a critical vulnerability in the dns-sync Node.js package that allows attackers to execute arbitrary commands on the system through the resolve() method.
You are affected if you are using a version of dns-sync prior to 0.1.1 and are not properly sanitizing input to the resolve() method.
Upgrade to version 0.1.1 or later of dns-sync. Alternatively, use a different DNS resolver.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the original vulnerability report and related security advisories for details: [https://nvd.nist.gov/vuln/detail/CVE-2017-16100](https://nvd.nist.gov/vuln/detail/CVE-2017-16100)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.