CVE-2019-5413 描述了 Node.js morgan 库在 1.9.1 之前的版本中存在的代码注入漏洞。该漏洞允许攻击者通过原型污染攻击,将恶意代码注入到应用程序中,从而导致远程代码执行。受影响的版本包括 1.9.0 及更早版本。建议立即升级到 1.9.1 或更高版本以消除此风险。
该代码注入漏洞的潜在影响非常严重。攻击者可以利用此漏洞执行任意代码,从而完全控制受影响的服务器。这可能导致敏感数据泄露、恶意软件安装、系统破坏,甚至整个网络被攻陷。原型污染攻击的成功依赖于应用程序对用户输入的处理方式,如果应用程序没有正确地过滤或验证用户输入,则更容易受到攻击。由于 morgan 广泛应用于 Node.js 应用程序中,因此该漏洞的潜在影响范围非常广泛。
该漏洞已公开披露,并且存在公开的利用代码。虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,攻击者可能会积极寻找利用此漏洞的机会。该漏洞尚未被添加到 CISA KEV 目录中。建议密切关注安全社区的动态,并及时采取必要的缓解措施。
Applications built with Node.js that utilize the morgan module for logging, particularly those that allow user-supplied data to influence the logging format, are at risk. This includes web applications, APIs, and backend services. Shared hosting environments where users can influence application configuration are also particularly vulnerable.
• nodejs / server:
npm list morgan• nodejs / server:
npm audit• nodejs / server: Check package.json for morgan versions < 1.9.1. Review application code for usage of morgan's filter function with unsanitized user input.
disclosure
漏洞利用状态
EPSS
1.95% (83% 百分位)
CVSS 向量
最有效的缓解措施是立即将 morgan 升级到 1.9.1 或更高版本。如果升级会导致应用程序中断,可以考虑回滚到之前的稳定版本,并实施额外的安全措施,例如严格的输入验证和过滤。此外,可以使用 Web 应用程序防火墙 (WAF) 来检测和阻止恶意请求。建议配置 WAF 规则,以阻止包含原型污染攻击模式的请求。监控应用程序日志,查找任何异常活动,例如未经授权的代码执行或文件修改。
将 morgan 包更新到 1.9.1 或更高版本。 这将修复命令注入漏洞。 运行 `npm install morgan@latest` 进行更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2019-5413 是 Node.js morgan 库在 1.9.1 之前的版本中发现的代码注入漏洞,允许攻击者通过原型污染攻击执行恶意代码。
如果您正在使用 morgan 库的 1.9.0 或更早版本,则您可能受到此漏洞的影响。请立即检查您的版本并升级。
将 morgan 升级到 1.9.1 或更高版本。如果升级导致问题,请考虑回滚并实施额外的安全措施。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,攻击者可能会积极寻找利用此漏洞的机会。
请访问 Morgan 的 GitHub 仓库或 npm 页面,查找有关此漏洞的官方公告和修复信息。