Plataforma
nodejs
Componente
follow-redirects
Corrigido em
1.14.7
A vulnerabilidade CVE-2022-0155 permite a exposição de informações pessoais privadas a atores não autorizados na biblioteca follow-redirects. Isso pode levar ao acesso indevido a dados sensíveis. Afeta versões ≤1.14.7. A correção foi implementada na versão 1.14.7.
A vulnerabilidade CVE-2022-0155 no pacote follow-redirects expõe informações pessoais privadas a um ator não autorizado através de um redirecionamento malicioso. Imagine um usuário clicando em um link aparentemente legítimo, por exemplo, em um site de comércio eletrônico ou um serviço bancário. Se este link for manipulado para usar uma versão vulnerável do follow-redirects, o pacote pode seguir um redirecionamento para um servidor controlado pelo atacante. Este servidor pode, então, interceptar e registrar dados sensíveis transmitidos durante a conexão, como cookies de sessão, tokens de autenticação, ou até mesmo dados de formulários preenchidos, incluindo informações de login e dados de cartão de crédito. O raio de impacto é amplo, afetando qualquer aplicação Node.js que utilize o pacote follow-redirects para lidar com redirecionamentos HTTP. A gravidade da exposição aumenta significativamente se a aplicação processa informações de identificação pessoal (PII) ou dados financeiros, pois um atacante pode comprometer a identidade do usuário, realizar transações fraudulentas ou obter acesso não autorizado a sistemas internos. A vulnerabilidade reside na forma como o pacote lida com redirecionamentos, permitindo que um atacante direcione o tráfego para um servidor malicioso sem detecção.
Atualmente, não há relatos públicos de exploração ativa da vulnerabilidade CVE-2022-0155 (KEV - Kill Establishment Verification: no public exploitation reports). No entanto, a natureza da vulnerabilidade, que envolve a exposição de informações sensíveis através de redirecionamentos, a torna um alvo atraente para atacantes. A ausência de um Proof of Concept (PoC) público não significa que a vulnerabilidade não possa ser explorada; apenas que ainda não foi demonstrada publicamente. Dada a facilidade de implementação de um ataque de redirecionamento malicioso, a vulnerabilidade deve ser tratada com alta prioridade e corrigida o mais rápido possível para evitar possíveis explorações futuras. A falta de exploração pública não diminui o risco, apenas adia a possibilidade. A urgência da correção é alta, especialmente para aplicações que lidam com dados sensíveis.
Status do Exploit
EPSS
1.30% (percentil 80%)
Vetor CVSS
A correção para a vulnerabilidade CVE-2022-0155 é simples: atualize o pacote follow-redirects para a versão 1.14.7 ou superior. Utilize o gerenciador de pacotes npm ou yarn para executar o comando npm update follow-redirects ou yarn upgrade follow-redirects. Se a atualização imediata não for possível, uma medida paliativa temporária é desabilitar o redirecionamento automático em sua aplicação, implementando um controle manual dos redirecionamentos HTTP. No entanto, essa solução é menos segura e pode afetar a funcionalidade da aplicação. Após a atualização, é crucial verificar se a aplicação continua a funcionar corretamente, testando cenários que envolvem redirecionamentos HTTP. Realize testes de regressão para garantir que a atualização não introduziu novos problemas. Monitore os logs da aplicação para detectar qualquer atividade suspeita relacionada a redirecionamentos após a aplicação da correção.
Actualice la dependencia follow-redirects a la versión 1.14.7 o superior. Esto corrige la vulnerabilidad de exposición de información personal privada. Ejecute `npm install follow-redirects@latest` o `yarn upgrade follow-redirects@latest` para actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2022-0155 is a vulnerability in the follow-redirects package that allows unauthorized actors to potentially expose private personal information by improperly handling redirects.
Applications using versions of the follow-redirects package prior to 1.14.7 are potentially affected by this vulnerability.
Upgrade the follow-redirects package to version 1.14.7 or later to resolve this vulnerability.
As of now, there are no publicly available exploitation reports or proof-of-concept code for CVE-2022-0155.
Refer to the National Vulnerability Database (NVD) entry for CVE-2022-0155 at https://nvd.nist.gov/vuln/detail/CVE-2022-0155 for more information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.