平台
nodejs
组件
parse-url
修复版本
7.0.0
CVE-2022-2216 是 ionicabizau/parse-url 库中的一个服务器端请求伪造 (SSRF) 漏洞。该漏洞允许未经授权的攻击者通过该库发起服务器端请求,从而访问内部资源或执行恶意操作。受影响的版本包括 7.0.0 及更早版本。已发布补丁版本 7.0.0 以解决此问题。
攻击者可以利用此 SSRF 漏洞向内部网络或外部服务发起请求,绕过访问控制,并可能访问敏感数据。例如,攻击者可以扫描内部网络,尝试访问数据库或管理界面。如果 parse-url 库被用于处理用户提供的 URL,攻击者可能能够利用此漏洞访问用户无法直接访问的资源。该漏洞的潜在影响包括数据泄露、权限提升以及对系统进行进一步攻击。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于其严重性,建议尽快采取缓解措施。该漏洞未被添加到 CISA KEV 目录中。公开的 POC 存在,增加了被利用的风险。
Applications built with Node.js that utilize the parse-url package, particularly those handling user-supplied URLs without proper validation, are at significant risk. This includes web applications, APIs, and backend services. Projects relying on older versions of Node.js or using outdated dependency management practices are also more vulnerable.
• nodejs / server:
npm list parse-urlIf the output shows a version less than 7.0.0, the system is vulnerable. • nodejs / server:
npm audit parse-urlThis command will identify the vulnerability and suggest an upgrade. • generic web: Inspect application logs for unusual outbound HTTP requests originating from the application server. Look for requests to unexpected internal or external IP addresses or domains.
disclosure
漏洞利用状态
EPSS
0.32% (55% 百分位)
CVSS 向量
最有效的缓解措施是立即升级到 parse-url 7.0.0 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,阻止对敏感资源的访问。此外,应仔细审查使用 parse-url 库的代码,确保 URL 处理过程的安全,避免将用户提供的 URL 直接用于发起请求。可以考虑使用白名单机制,限制允许访问的 URL。
将 `parse-url` 依赖项升级到 7.0.0 或更高版本。这修复了 SSRF 漏洞。运行 `npm install parse-url@latest` 或 `yarn add parse-url@latest` 进行升级。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2022-2216 是 ionicabizau/parse-url 库中发现的服务器端请求伪造 (SSRF) 漏洞,影响版本 ≤7.0.0。攻击者可以利用此漏洞发起服务器端请求。
如果您的应用程序使用了 ionicabizau/parse-url 库的版本 ≤7.0.0,则可能受到此漏洞的影响。请立即检查您的依赖项。
升级到 parse-url 7.0.0 或更高版本以修复此漏洞。如果无法升级,请考虑使用 WAF 或代理服务器进行缓解。
虽然目前尚未观察到大规模的利用活动,但由于其严重性,建议尽快采取缓解措施。公开的 POC 存在,增加了被利用的风险。
请访问 ionicabizau/parse-url 的 GitHub 仓库获取官方 advisory:https://github.com/ionicabizau/parse-url