HIGHCVE-2022-1650CVSS 8.1

Remoção Incorreta de Informações Sensíveis Antes do Armazenamento ou Transferência em eventsource/eventsource

Q: How do I fix CVE-2022-1650 in eventsource?

Upgrade the eventsource library to version v2.0.2 or later using `npm install eventsource@latest`.

Q: Where can I find the official eventsource advisory for CVE-2022-1650?

Refer to the GitHub repository eventsource/eventsource for details: https://github.com/eventsource/eventsource/issues/118

Plataforma

nodejs

Componente

eventsource

Corrigido em

2.0.2

AI Confidence: highNVDEPSS 1.1%Revisado: mai. de 2026

Ver no NVD

Salvar

A vulnerabilidade CVE-2022-1650 afeta a biblioteca eventsource/eventsource para Node.js, nas versões de 0.0.0 a v2.0.2. Esta falha ocorre devido à remoção inadequada de informações sensíveis antes do armazenamento ou transferência de dados, o que pode levar à exposição de informações confidenciais. A atualização para a versão 2.0.2 corrige essa vulnerabilidade, mitigando o risco de exposição de dados.

Impacto e Cenários de Ataque

Um atacante pode explorar essa vulnerabilidade para obter acesso a informações sensíveis que são processadas pela biblioteca eventsource. Isso pode incluir credenciais de autenticação, chaves de API, dados de configuração ou qualquer outra informação que seja armazenada ou transmitida sem a devida sanitização. A exploração bem-sucedida pode resultar em comprometimento da confidencialidade dos dados, permitindo que o atacante acesse informações confidenciais e as utilize para fins maliciosos. O impacto pode variar dependendo da natureza dos dados expostos e do contexto em que a biblioteca eventsource é utilizada.

Contexto de Exploração

Atualmente, não há relatos públicos de exploração ativa da vulnerabilidade CVE-2022-1650. A vulnerabilidade foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA em 2022-05-12, indicando que existe uma probabilidade de exploração. É recomendável aplicar a correção o mais rápido possível para mitigar o risco. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver exploits internamente.

Quem Está em Riscotraduzindo…

Applications built using Node.js that rely on the eventsource library for event streaming or long-polling functionality are at risk. This includes web applications, backend services, and any other systems integrating this library. Developers who haven't recently reviewed their dependencies are particularly vulnerable.

Passos de Detecçãotraduzindo…

• nodejs / server:

  npm list eventsource

This command will list the installed version of the eventsource library. If the version is less than v2.0.2, the system is vulnerable. • nodejs / server:

npm audit eventsource

This command will check for known vulnerabilities in the eventsource library and report any findings. • generic web: Review application code for instances where the eventsource library is used. Look for potential data leakage points where sensitive information might be passed to or from the library without proper sanitization.

Linha do Tempo do Ataque

2022-05-12Disclosure
disclosure

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido

CISA KEVNO

Exposição na InternetAlta

NextGuard100% ainda vulneráveis

EPSS

1.14% (percentil 78%)

Vetor CVSS

Software Afetado

Componenteeventsource

Fornecedoreventsource

Faixa afetadaCorrigido em

0.0.0 – 1.1.02.0.2

1.1.1 – 1.1.12.0.2

2.0.0 – 2.0.12.0.2

Classificação de Fraqueza (CWE)

CWE-212

Linha do tempo

Reservado2022-05-10
Publicada2022-05-12
Modificada2024-08-03
EPSS atualizado2026-04-02

Mitigação e Soluções Alternativas

A mitigação primária para CVE-2022-1650 é atualizar a biblioteca eventsource para a versão 2.0.2 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade ou dependências, considere implementar medidas de segurança adicionais, como a sanitização rigorosa de todos os dados que são processados pela biblioteca eventsource. Monitore os logs do sistema em busca de atividades suspeitas que possam indicar uma tentativa de exploração da vulnerabilidade. Após a atualização, verifique a integridade da instalação da biblioteca e confirme que a versão corrigida está em uso.

Como corrigir

Atualize a biblioteca eventsource para a versão 2.0.2 ou superior. Isso corrige a vulnerabilidade que permite a exposição de informações sensíveis antes de serem armazenadas ou transferidas.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentestraduzindo…

What is CVE-2022-1650 — Information Disclosure in eventsource?

CVE-2022-1650 is a HIGH severity information disclosure vulnerability affecting the eventsource library in Node.js applications. It allows sensitive data to be exposed due to improper removal before storage or transfer.

Am I affected by CVE-2022-1650 in eventsource?

You are affected if your Node.js application uses the eventsource library in versions 0.0.0 through v2.0.2. Check your dependencies with npm list eventsource.

How do I fix CVE-2022-1650 in eventsource?

Upgrade the eventsource library to version v2.0.2 or later using npm install eventsource@latest.

Is CVE-2022-1650 being actively exploited?

There is currently no evidence of active exploitation campaigns targeting CVE-2022-1650, but it's crucial to patch promptly.