Plataforma
nodejs
Componente
morgan
Corrigido em
1.9.2
1.9.1
A vulnerabilidade CVE-2019-5413 afeta a biblioteca morgan para Node.js, permitindo a injeção de código quando a entrada do usuário é utilizada no filtro ou combinada com um ataque de poluição de protótipo. Essa falha pode levar à execução de código arbitrário no servidor. Versões afetadas são aquelas anteriores à 1.9.1. A correção para esta vulnerabilidade está disponível na versão 1.9.1.
Um atacante pode explorar esta vulnerabilidade injetando código malicioso através da entrada do usuário que é processada pelo filtro do morgan. Em um cenário de ataque, um invasor poderia enviar dados especialmente criados para o servidor, que seriam interpretados como código e executados. Isso pode resultar em comprometimento total do servidor, incluindo a capacidade de ler, modificar ou excluir dados, instalar malware e realizar outras ações maliciosas. A combinação com ataques de poluição de protótipo aumenta a severidade, permitindo que o atacante manipule o comportamento do morgan de maneiras inesperadas e potencialmente perigosas. A superfície de ataque é ampliada se o morgan for usado para registrar dados de entrada não confiáveis.
Esta vulnerabilidade foi divulgada publicamente em 25 de março de 2019. Não há evidências de exploração ativa em campanhas direcionadas, mas a alta pontuação CVSS (9.8) indica um alto risco potencial. A vulnerabilidade é considerada de fácil exploração, o que aumenta a probabilidade de ser explorada em ataques automatizados. Não está listada no KEV da CISA.
Applications built with Node.js that utilize the morgan module for logging, particularly those that allow user-supplied data to influence the logging format, are at risk. This includes web applications, APIs, and backend services. Shared hosting environments where users can influence application configuration are also particularly vulnerable.
• nodejs / server:
npm list morgan• nodejs / server:
npm audit• nodejs / server: Check package.json for morgan versions < 1.9.1. Review application code for usage of morgan's filter function with unsanitized user input.
disclosure
Status do Exploit
EPSS
1.95% (percentil 83%)
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar a biblioteca morgan para a versão 1.9.1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de validação e sanitização rigorosas em todas as entradas do usuário que são usadas no filtro do morgan. Além disso, desative o registro de dados sensíveis ou não confiáveis. Em ambientes de produção, o uso de um Web Application Firewall (WAF) pode ajudar a bloquear solicitações maliciosas que tentam explorar esta vulnerabilidade. Monitore os logs do servidor em busca de padrões suspeitos que possam indicar uma tentativa de exploração.
Atualize o pacote morgan para a versão 1.9.1 ou superior. Isso corrigirá a vulnerabilidade de injeção de comandos. Execute `npm install morgan@latest` para atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-5413 is a critical code injection vulnerability in the Morgan Node.js module, allowing attackers to execute arbitrary code through prototype pollution if user input is improperly handled.
You are affected if you are using a version of Morgan prior to 1.9.1 and your application allows user input to influence the logging format.
Upgrade the Morgan module to version 1.9.1 or later. If immediate upgrade is not possible, sanitize user input passed to the filter function.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and potential impact warrant immediate attention and remediation.
Refer to the Morgan project's repository and related security advisories for detailed information and updates: https://github.com/expressjs/morgan
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.