Se ha reportado un nuevo aviso de múltiples vulnerabilidades en Node.js, que permitirían a un atacante realizar ejecución remota de código (RCE), contrabando de solicitudes HTTP, entre otros.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta” y 5 (cinco) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2022-32212, de severidad “alta”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla del reenlace de DNS al utilizar la opción –inspect con direcciones IP no válidas. Un atacante podría realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-32223, de severidad “alta”, sin una puntuación asignada aún. Esta vulnerabilidad de secuestro de archivos DLL en Windows se debe a la instalación y existencia del archivo “C:\Program Files\Common Files\SSL\openssl.cnf» de OpenSSL. Un atacante podría aprovechar esta vulnerabilidad para intentar leer openssl.cnf desde /home/iojs/build/ al iniciar el sistema afectado, habiendo colocado un archivo “providers.dll” malicioso en múltiples directorios leídos a través del archivo de configuración openssl.cnf.
- CVE-2022-32215, de severidad «media», sin puntuación asignada aún. Esta vulnerabilidad se debe al análisis incorrecto de las cabeceras de codificación de transferencia multilínea realizado por el analizador llhttp. Esto permitiría a un atacante realizar ataques de tipo HTTP request smuggling.
Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.
Las versiones de los productos afectados en Node.js son:
- Node.js versiones 18.x, 16.x y 14.x.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Referencias: