Plataforma
nodejs
Componente
parse-url
Corrigido em
8.1.0
A vulnerabilidade CVE-2022-2900 é uma falha de Server-Side Request Forgery (SSRF) identificada na biblioteca parse-url para Node.js, versões anteriores à 8.1.0. Essa falha permite que um atacante force o servidor a fazer requisições a recursos internos, potencialmente expondo informações sensíveis ou comprometendo a segurança do sistema. A correção para esta vulnerabilidade foi disponibilizada na versão 8.1.0.
Um atacante explorando esta vulnerabilidade SSRF pode realizar requisições a serviços internos que normalmente não são acessíveis externamente. Isso pode incluir acesso a bancos de dados, servidores de administração ou outros sistemas internos. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, execução remota de código (dependendo da configuração do servidor) e, em casos mais graves, comprometimento total do sistema. A capacidade de realizar requisições arbitrárias a partir do servidor abre um leque de possibilidades para o atacante, permitindo a coleta de informações sensíveis e a realização de ataques mais complexos.
A vulnerabilidade foi divulgada publicamente em 14 de setembro de 2022. Não há evidências de exploração ativa em campanhas direcionadas no momento da redação. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) e a probabilidade de exploração é considerada baixa a média, dependendo da exposição do sistema e da implementação de medidas de mitigação.
Applications built with Node.js that utilize the parse-url package are at risk. This includes web applications, APIs, and backend services that process URLs from external sources. Projects relying on older versions of parse-url without robust input validation are particularly vulnerable.
• nodejs / server:
npm list parse-url
# Check for versions <= 8.1.0• nodejs / server:
find /usr/local/lib/node_modules /opt/node_modules -name "parse-url" -print0 | xargs -0 grep -i "//internal.example.com"
# Look for internal URLs in the package codedisclosure
Status do Exploit
EPSS
0.43% (percentil 63%)
Vetor CVSS
A mitigação primária para CVE-2022-2900 é a atualização para a versão 8.1.0 ou superior da biblioteca parse-url. Se a atualização imediata não for possível devido a incompatibilidades ou dependências, considere implementar medidas de segurança adicionais, como a restrição de acesso a recursos internos através de firewalls ou proxies reverso. Além disso, valide e sanitize todas as entradas de URL para evitar a injeção de URLs maliciosas. Monitore logs de acesso e erro em busca de requisições suspeitas.
Atualize a dependência 'parse-url' para a versão 8.1.0 ou superior. Isso corrige a vulnerabilidade SSRF. Execute 'npm install parse-url@latest' ou 'yarn add parse-url@latest' para atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2022-2900 is a critical Server-Side Request Forgery (SSRF) vulnerability affecting versions of the parse-url Node.js package up to 8.1.0, allowing attackers to make requests to unintended resources.
If your Node.js project uses parse-url version 8.1.0 or earlier, you are potentially affected. Check your dependencies with npm list parse-url.
Upgrade the parse-url package to version 8.1.0 or later using npm install parse-url@latest. Implement input validation as a temporary workaround if upgrading is not immediately possible.
While no confirmed active exploitation campaigns are publicly known, the SSRF nature of the vulnerability makes it a potential target for attackers.
Refer to the parse-url repository on GitHub for updates and advisories: https://github.com/ionicabizau/parse-url
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.