Plataforma
nodejs
Componente
node-fetch
Corrigido em
3.1.1
A vulnerabilidade CVE-2022-0235 refere-se a uma falha no node-fetch que permite a exposição de informações sensíveis a atores não autorizados. Essa falha pode comprometer a confidencialidade dos dados processados pela aplicação. Afeta versões do node-fetch anteriores ou iguais à 3.1.1. A vulnerabilidade foi corrigida na versão 3.1.1.
A vulnerabilidade CVE-2022-0235 em node-fetch expõe informações sensíveis a atores não autorizados. O ataque se aproveita de uma falha na forma como node-fetch lida com certos cabeçalhos de resposta HTTP. Especificamente, a biblioteca pode não validar corretamente os cabeçalhos Content-Disposition que contêm informações de caminho de arquivo. Um atacante malicioso pode criar um servidor que responda com um cabeçalho Content-Disposition especialmente elaborado, indicando que o arquivo a ser baixado está localizado em um caminho sensível no sistema do servidor. Se o node-fetch processar esse cabeçalho sem validação adequada, pode revelar o caminho do arquivo, permitindo que um atacante descubra informações sobre a estrutura de diretórios do servidor e potencialmente identifique outros arquivos sensíveis. O raio de impacto é limitado à aplicação que utiliza node-fetch para fazer requisições HTTP. A gravidade do impacto é alta, pois a exposição de informações sobre a estrutura de arquivos pode ser um primeiro passo para ataques mais sofisticados, como a busca por arquivos de configuração contendo credenciais ou informações confidenciais. A exploração bem-sucedida pode levar à divulgação de dados confidenciais e comprometer a segurança da aplicação.
Atualmente, não há relatos públicos de exploração ativa da vulnerabilidade CVE-2022-0235 (KEV). Isso não significa que a vulnerabilidade não possa ser explorada, mas indica que, até o momento, ela não tem sido utilizada em ataques no mundo real. Não foram identificados Proof of Concepts (PoCs) públicos que demonstrem a exploração da vulnerabilidade. Dada a natureza da vulnerabilidade e a possibilidade de exploração, é recomendável aplicar a correção o mais rápido possível para mitigar o risco. A ausência de exploração pública não diminui a importância de corrigir a vulnerabilidade, especialmente considerando o potencial impacto da exposição de informações sensíveis. A urgência da correção é considerada alta, devido ao potencial de impacto e à facilidade relativa de exploração.
Applications built with Node.js that utilize the node-fetch library are at risk. This includes web applications, APIs, and backend services that rely on node-fetch for making HTTP requests. Specifically, applications that handle sensitive data or interact with external APIs are particularly vulnerable.
• nodejs / server:
npm list node-fetch• nodejs / server:
npm audit node-fetch• nodejs / server: Check package.json for versions <= 3.1.1 • nodejs / server: Review application logs for unusual HTTP requests or error messages related to header processing.
disclosure
Status do Exploit
EPSS
0.53% (percentil 67%)
Vetor CVSS
Para corrigir a vulnerabilidade CVE-2022-0235, atualize a biblioteca node-fetch para a versão 3.1.1 ou superior. Esta versão inclui a correção que valida adequadamente os cabeçalhos Content-Disposition. Se a atualização imediata não for possível, considere implementar uma solução alternativa, como validar manualmente os cabeçalhos Content-Disposition antes de processá-los na sua aplicação. Essa validação deve garantir que o caminho do arquivo indicado no cabeçalho seja seguro e não aponte para um local sensível. A ordem de aplicação é simples: primeiro, tente atualizar para a versão 3.1.1 ou superior. Se isso não for viável, implemente a validação manual como uma medida temporária. Após a atualização ou implementação da solução alternativa, verifique se a aplicação está processando os cabeçalhos Content-Disposition de forma segura e que as informações sensíveis não estão sendo expostas. Utilize ferramentas de teste de segurança para simular ataques e validar a eficácia da correção.
Actualice la dependencia node-fetch a la versión 3.1.1 o superior. Esto solucionará la vulnerabilidad de exposición de información sensible. Ejecute `npm install node-fetch@latest` o `yarn upgrade node-fetch@latest` para actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2022-0235 is a HIGH severity vulnerability affecting node-fetch versions up to 3.1.1, allowing attackers to extract sensitive information through crafted HTTP requests.
You are affected if your Node.js application uses node-fetch version 3.1.1 or earlier. Check your package.json file to determine your version.
Upgrade to node-fetch version 3.1.1 or later. If immediate upgrade is not possible, implement header validation workarounds in your application code.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's ease of exploitation makes it a potential target.
Refer to the node-fetch GitHub repository and npm advisory for details: https://github.com/node-fetch/node-fetch/issues/1377
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.