平台
nodejs
组件
eventsource
修复版本
2.0.2
2.0.2
2.0.2
CVE-2022-1650 描述了 GitHub 上的 eventsource 库在 v2.0.2 之前版本中存在的信息泄露漏洞。该漏洞源于在存储或传输数据之前未能正确移除敏感信息,可能导致攻击者获取未经授权的数据。受影响的版本包括 0.0.0 到 v2.0.2。建议立即升级至 v2.0.2 以消除此风险。
此漏洞的影响在于攻击者可能能够访问存储在 eventsource 库中的敏感数据,例如 API 密钥、数据库密码或其他机密信息。攻击者可以通过拦截或操纵 eventsource 的数据流来提取这些信息。由于 eventsource 库被广泛应用于 Node.js 应用中,因此该漏洞的潜在影响范围非常广泛。如果攻击者成功获取了敏感数据,他们可能利用这些数据进行进一步的攻击,例如入侵数据库、窃取用户数据或破坏系统。
目前,该漏洞的公开利用情况尚不明确,但由于其潜在影响,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。建议关注安全社区的动态,以便及时了解最新的利用信息和缓解建议。
Applications built using Node.js that rely on the eventsource library for event streaming or long-polling functionality are at risk. This includes web applications, backend services, and any other systems integrating this library. Developers who haven't recently reviewed their dependencies are particularly vulnerable.
• nodejs / server:
npm list eventsourceThis command will list the installed version of the eventsource library. If the version is less than v2.0.2, the system is vulnerable.
• nodejs / server:
npm audit eventsourceThis command will check for known vulnerabilities in the eventsource library and report any findings.
• generic web:
Review application code for instances where the eventsource library is used. Look for potential data leakage points where sensitive information might be passed to or from the library without proper sanitization.
disclosure
漏洞利用状态
EPSS
1.14% (78% 百分位)
CVSS 向量
最有效的缓解措施是立即将 eventsource 库升级至 v2.0.2 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,并监控 eventsource 的数据流以检测异常活动。此外,建议审查应用程序的代码,确保所有敏感信息都经过适当的加密和保护,并且在不再需要时及时清除。升级后,请验证新版本是否正确安装并配置,以确保漏洞已成功修复。
将 eventsource 库升级到 2.0.2 或更高版本。这修复了在存储或传输之前暴露敏感信息漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
v2.0.2 之前版本?CVE-2022-1650 是一个信息泄露漏洞,影响到 eventsource 库的 v2.0.2 之前的版本。攻击者可能能够访问存储在库中的敏感数据。
如果您正在使用 eventsource 库的 v2.0.2 之前的版本,则可能受到此漏洞的影响。请立即检查您的依赖项并升级。
将 eventsource 库升级至 v2.0.2 或更高版本。
目前,该漏洞的公开利用情况尚不明确,但建议尽快采取缓解措施。
请访问 eventsource 库的 GitHub 仓库获取更多信息:https://github.com/eventsource/eventsource