Plataforma
nodejs
Componente
superjson
Corrigido em
1.8.1
1.8.1
A vulnerabilidade CVE-2022-23631 é uma falha de Execução Remota de Código (RCE) no superjson, uma biblioteca de análise JSON. Essa falha permite que atacantes executem código arbitrário em servidores que utilizam superjson para processar entradas, incluindo servidores Blitz.js, sem a necessidade de autenticação prévia. A vulnerabilidade afeta versões anteriores a 1.8.1 e foi corrigida nas versões 1.8.1 do superjson e 0.45.3 do Blitz.js.
O impacto desta vulnerabilidade é crítico, pois concede aos atacantes controle total sobre o servidor afetado. Um atacante pode explorar essa falha para roubar dados confidenciais, manipular informações armazenadas no servidor e até mesmo lançar ataques a outros sistemas conectados à rede. A exploração bem-sucedida requer apenas que o servidor implemente pelo menos um endpoint que utilize superjson durante o processamento das requisições, como uma chamada RPC no Blitz.js. A ausência de autenticação necessária torna a exploração ainda mais fácil e perigosa, permitindo que atacantes não autenticados comprometam o sistema.
A vulnerabilidade CVE-2022-23631 foi divulgada em 9 de fevereiro de 2022. Não há informações disponíveis sobre a inclusão da vulnerabilidade no KEV (Know Exploited Vulnerabilities) da CISA. Embora não haja relatos públicos de exploração ativa, a natureza crítica da vulnerabilidade e a facilidade de exploração a tornam um alvo atraente para atacantes. A existência de um Proof of Concept (PoC) público pode acelerar a exploração da vulnerabilidade.
Applications built with Blitz.js that utilize superjson for data parsing are particularly at risk. Any Node.js application relying on superjson for processing external data, especially in API endpoints or RPC calls, is also vulnerable. Shared hosting environments where multiple applications share the same server instance are at increased risk due to the potential for cross-application exploitation.
• nodejs / server:
npm list superjsonThis command will list installed versions of superjson. Check if the version is less than 1.8.1. • nodejs / server:
find / -name "superjson.js" -o -name "superjson.min.js" -printLocate superjson files on the system to identify potential vulnerable deployments. • nodejs / server:
grep -r 'superjson.parse' /path/to/your/appSearch for instances of superjson.parse within your application code, as this is a key function used in vulnerable scenarios.
disclosure
Status do Exploit
EPSS
0.40% (percentil 61%)
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2022-23631 é a atualização para as versões corrigidas do superjson (1.8.1) e do Blitz.js (0.45.3). Se a atualização imediata não for possível devido a problemas de compatibilidade ou interrupções no serviço, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as entradas JSON recebidas pelo servidor. Utilize um Web Application Firewall (WAF) para bloquear requisições maliciosas que tentem explorar a vulnerabilidade. Monitore logs de acesso e erros em busca de padrões suspeitos que possam indicar uma tentativa de exploração.
Atualize a versão do superjson para a 1.8.1 ou superior. Isso corrige a vulnerabilidade de poluição de protótipo que permite a execução remota de código. Execute `npm install superjson@latest` ou `yarn add superjson@latest` para atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2022-23631 é uma falha de Execução Remota de Código (RCE) no superjson, permitindo que atacantes executem código arbitrário em servidores Blitz.js.
Se você estiver utilizando uma versão do superjson anterior a 1.8.1 ou do Blitz.js anterior a 0.45.3, você está vulnerável.
Atualize para a versão 1.8.1 do superjson e a versão 0.45.3 do Blitz.js.
Não há relatos públicos de exploração ativa, mas a vulnerabilidade é crítica e pode ser explorada.
Consulte o site oficial do Blitz.js ou o repositório do superjson no GitHub para obter informações e atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.