Plataforma
nodejs
Componente
parse-url
Corrigido em
7.0.0
A vulnerabilidade CVE-2022-2216 é uma falha de Server-Side Request Forgery (SSRF) identificada na biblioteca parse-url para Node.js, versões anteriores à 7.0.0. Essa falha permite que um atacante force o servidor a fazer requisições a recursos internos ou externos não intencionais, potencialmente expondo dados sensíveis ou comprometendo a segurança do sistema. A atualização para a versão 7.0.0 resolve a vulnerabilidade.
Um atacante explorando essa vulnerabilidade SSRF pode realizar requisições a qualquer URL que o servidor tenha permissão para acessar. Isso inclui serviços internos que normalmente não são acessíveis externamente, como bancos de dados, servidores de administração ou APIs internas. O impacto pode variar desde a exposição de informações confidenciais até a execução de ações não autorizadas no sistema. Em cenários mais graves, um atacante pode usar a vulnerabilidade para realizar ataques de escalada de privilégios ou até mesmo comprometer a integridade do sistema, dependendo das permissões do servidor e da natureza dos recursos acessados. A exploração bem-sucedida pode levar à divulgação de segredos, modificação de dados ou interrupção do serviço.
A vulnerabilidade CVE-2022-2216 foi divulgada em 27 de junho de 2022. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público aumenta o risco de exploração, especialmente em ambientes com configurações inseguras. A avaliação de risco é considerada alta devido à severidade da vulnerabilidade e à facilidade potencial de exploração.
Applications built with Node.js that utilize the parse-url package, particularly those handling user-supplied URLs without proper validation, are at significant risk. This includes web applications, APIs, and backend services. Projects relying on older versions of Node.js or using outdated dependency management practices are also more vulnerable.
• nodejs / server:
npm list parse-urlIf the output shows a version less than 7.0.0, the system is vulnerable. • nodejs / server:
npm audit parse-urlThis command will identify the vulnerability and suggest an upgrade. • generic web: Inspect application logs for unusual outbound HTTP requests originating from the application server. Look for requests to unexpected internal or external IP addresses or domains.
disclosure
Status do Exploit
EPSS
0.32% (percentil 55%)
Vetor CVSS
A mitigação primária para CVE-2022-2216 é atualizar a biblioteca parse-url para a versão 7.0.0 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação e sanitização rigorosas de todas as URLs fornecidas pelo usuário. Utilize firewalls de aplicação web (WAFs) para bloquear requisições maliciosas e restringir o acesso a recursos internos sensíveis. Monitore os logs do servidor em busca de padrões de requisição suspeitos que possam indicar uma tentativa de exploração. Após a atualização, confirme a correção verificando se a biblioteca está na versão 7.0.0 ou superior através do comando npm list parse-url.
Atualize a dependência `parse-url` para a versão 7.0.0 ou superior. Isso corrige a vulnerabilidade SSRF. Execute `npm install parse-url@latest` ou `yarn add parse-url@latest` para atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2022-2216 is a critical Server-Side Request Forgery (SSRF) vulnerability affecting versions of the parse-url Node.js package prior to 7.0.0, allowing attackers to make requests to unintended destinations.
You are affected if your project uses parse-url version 7.0.0 or earlier. Check your package.json file and run npm list parse-url to verify.
Upgrade the parse-url package to version 7.0.0 or later using npm install [email protected].
While no confirmed active exploitation campaigns are publicly known, the CRITICAL severity and availability of PoCs suggest a high likelihood of exploitation.
Refer to the official parse-url repository on GitHub for updates and advisories: https://github.com/ionicabizau/parse-url
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.