CVE-2022-23631: RCE in superjson

该漏洞的影响极其严重，因为它允许攻击者在任何使用 superjson 输入的服务器上运行任意代码，包括 Blitz.js 服务器，无需任何身份验证或先验知识。攻击者可以完全控制服务器，从而窃取和操纵数据，或攻击其他系统。唯一的要求是服务器至少实现一个使用 superjson 在请求处理过程中进行处理的端点。在 Blitz.js 的情况下，这将至少是一个 RPC 调用。攻击者可以利用此漏洞执行恶意代码，例如安装后门、窃取敏感数据或发起分布式拒绝服务 (DDoS) 攻击。由于该漏洞无需身份验证，因此攻击面非常广，任何暴露了 superjson 处理的端点的服务器都可能受到影响。

Applications built with Blitz.js that utilize superjson for data parsing are particularly at risk. Any Node.js application relying on superjson for processing external data, especially in API endpoints or RPC calls, is also vulnerable. Shared hosting environments where multiple applications share the same server instance are at increased risk due to the potential for cross-application exploitation.

• nodejs / server:

  npm list superjson

This command will list installed versions of superjson. Check if the version is less than 1.8.1. • nodejs / server:

  find / -name "superjson.js" -o -name "superjson.min.js" -print

Locate superjson files on the system to identify potential vulnerable deployments. • nodejs / server:

  grep -r 'superjson.parse' /path/to/your/app

Search for instances of superjson.parse within your application code, as this is a key function used in vulnerable scenarios.

1. 2022-02-09Disclosure

   disclosure

1. 已保留2022-01-19
2. 发布日期2022-02-09
3. 修改日期2026-02-04
4. EPSS 更新日期2026-04-02

缓解 CVE-2022-23631 的主要方法是升级至受影响的版本。建议立即升级至 superjson 1.8.1 或 Blitz.js 0.45.3。如果无法立即升级，可以考虑以下临时缓解措施：限制对使用 superjson 的端点的访问，实施严格的输入验证和清理规则，并监控服务器日志以检测可疑活动。如果需要回滚，请确保在回滚之前备份所有数据，并在回滚后彻底测试系统。由于该漏洞无需身份验证，因此建议使用 Web 应用防火墙 (WAF) 或反向代理来过滤恶意请求。