CVE-2022-0235 是 node-fetch 库中发现的信息泄露漏洞。该漏洞可能允许未经授权的攻击者访问敏感信息,对依赖 node-fetch 的应用程序构成威胁。受影响的版本包括 3.1.1 及更早版本。已发布补丁版本 3.1.1,建议立即升级。
此漏洞允许攻击者通过精心构造的请求,从 node-fetch 库中提取敏感信息。具体而言,攻击者可能能够访问内部状态或配置数据,这些数据原本不应暴露给外部用户。虽然该漏洞本身可能不会导致远程代码执行,但泄露的敏感信息可能被用于后续攻击,例如凭据盗窃或权限提升。攻击者可能利用此漏洞来识别应用程序的内部结构,从而更容易发现其他漏洞。
该漏洞已公开披露,且存在公开的利用代码。目前尚无关于该漏洞被大规模利用的公开报告,但由于其高 CVSS 评分和可用的利用代码,存在被利用的风险。CISA 尚未将其添加到 KEV 目录中。建议密切关注安全社区的动态,并采取必要的预防措施。
Applications built with Node.js that utilize the node-fetch library are at risk. This includes web applications, APIs, and backend services that rely on node-fetch for making HTTP requests. Specifically, applications that handle sensitive data or interact with external APIs are particularly vulnerable.
• nodejs / server:
npm list node-fetch• nodejs / server:
npm audit node-fetch• nodejs / server: Check package.json for versions <= 3.1.1 • nodejs / server: Review application logs for unusual HTTP requests or error messages related to header processing.
disclosure
漏洞利用状态
EPSS
0.53% (67% 百分位)
CVSS 向量
最有效的缓解措施是立即将 node-fetch 升级到 3.1.1 或更高版本。如果升级会导致应用程序中断,可以考虑临时回滚到之前的稳定版本,并尽快进行全面测试。此外,可以实施 Web 应用程序防火墙 (WAF) 规则,以阻止可疑的请求模式。监控应用程序日志,查找任何异常活动,例如未经授权的访问尝试或意外的数据泄露。
将 node-fetch 依赖项升级到 3.1.1 或更高版本。 这将解决敏感信息泄露的漏洞。 运行 `npm install node-fetch@latest` 或 `yarn upgrade node-fetch@latest` 进行升级。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2022-0235 是 node-fetch 库中发现的一个信息泄露漏洞,可能允许攻击者访问敏感信息。CVSS 评分为 8.8(高)。
如果您正在使用 node-fetch 版本 ≤3.1.1,则您可能受到影响。请立即升级到 3.1.1 或更高版本。
将 node-fetch 升级到 3.1.1 或更高版本。如果升级导致问题,请考虑回滚并尽快进行全面测试。
虽然目前没有大规模利用的公开报告,但由于漏洞的高 CVSS 评分和可用的利用代码,存在被利用的风险。
请访问 node-fetch 的官方 GitHub 仓库或相关安全公告网站,以获取有关此漏洞的更多信息。