Plataforma
nodejs
Componente
http-proxy-middleware
Corrigido em
2.0.7
3.0.3
2.0.7
A vulnerabilidade CVE-2024-21536 é um problema de negação de serviço (DoS) que afeta o pacote http-proxy-middleware. Um atacante pode explorar essa falha para derrubar o processo Node.js e, consequentemente, o servidor, enviando requisições para caminhos específicos. As versões afetadas são anteriores à 2.0.7 e da 3.0.0 até a 3.0.3. A vulnerabilidade foi corrigida na versão 2.0.7.
A vulnerabilidade CVE-2024-21536 afeta o pacote http-proxy-middleware em versões anteriores a 2.0.7 e entre 3.0.0 e 3.0.3. Trata-se de uma vulnerabilidade de Negação de Serviço (DoS) causada por um erro UnhandledPromiseRejection lançado pela biblioteca micromatch. Um atacante pode derrubar o processo Node.js e o servidor enviando solicitações específicas para determinados caminhos. Isso pode resultar em interrupção do serviço e indisponibilidade da aplicação web que utiliza http-proxy-middleware. A severidade CVSS é de 7.5, indicando um risco alto. É crucial atualizar o pacote para mitigar este risco.
Um atacante pode explorar esta vulnerabilidade enviando uma série de solicitações cuidadosamente elaboradas para rotas específicas gerenciadas por http-proxy-middleware. Essas solicitações são projetadas para acionar o erro UnhandledPromiseRejection em micromatch, o que, por sua vez, causa a terminação do processo Node.js. A dificuldade de exploração depende da configuração do servidor e da exposição das rotas vulneráveis. Um atacante com acesso à rede interna ou através de uma vulnerabilidade em outro componente pode aproveitar esta fraqueza para interromper o serviço. A natureza da vulnerabilidade DoS significa que o objetivo não é roubar dados, mas simplesmente tornar o serviço inacessível.
Applications and services relying on http-proxy-middleware as a reverse proxy or API gateway are at risk. This includes Node.js applications using this package for request routing and transformation. Shared hosting environments where multiple applications share the same Node.js process are particularly vulnerable, as a single compromised application could impact all others.
• nodejs / server:
ps aux | grep 'node' | grep http-proxy-middleware• nodejs / server:
npm list http-proxy-middleware• nodejs / server: Monitor Node.js process logs for UnhandledPromiseRejection errors related to micromatch.
• nodejs / server: Use a process monitoring tool (e.g., PM2, systemd) to automatically restart the Node.js process if it crashes.
disclosure
Status do Exploit
EPSS
0.35% (percentil 58%)
CISA SSVC
Vetor CVSS
A solução para mitigar a vulnerabilidade CVE-2024-21536 é atualizar o pacote http-proxy-middleware para a versão 2.0.7 ou superior, ou para a versão 3.0.3 ou superior. Isso corrige o erro UnhandledPromiseRejection em micromatch que permite a exploração da vulnerabilidade DoS. Recomenda-se realizar esta atualização o mais rápido possível para proteger seus sistemas. Além disso, monitore os logs do servidor em busca de padrões incomuns que possam indicar uma tentativa de exploração. Se não for possível atualizar imediatamente, considere implementar regras de firewall para restringir o acesso aos caminhos vulneráveis, embora isso não seja uma solução completa.
Actualice el paquete http-proxy-middleware a la versión 2.0.7 o superior, o a la versión 3.0.3 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por un error UnhandledPromiseRejection. Ejecute `npm install http-proxy-middleware@latest` o `yarn add http-proxy-middleware@latest` para obtener la versión más reciente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um middleware Node.js que permite criar um proxy HTTP. É comumente usado para encaminhar solicitações para outros servidores, frequentemente para fins de desenvolvimento ou para proteger aplicações web.
DoS significa que um atacante tenta tornar um serviço indisponível para os usuários legítimos, geralmente sobrecarregando o sistema com tráfego ou solicitações.
Você pode verificar a versão usando o comando npm list http-proxy-middleware no seu terminal.
Se não puder atualizar imediatamente, considere implementar regras de firewall para restringir o acesso aos caminhos vulneráveis e monitorar os logs do servidor.
Sim, existem ferramentas como npm audit e yarn audit que podem escanear suas dependências em busca de vulnerabilidades e sugerir atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.