CVE-2021-22931
CVE-2021-22931
En resumen
La biblioteca DNS de Node.js no valida correctamente los nombres de dominio devueltos por los servidores DNS, permitiendo que atacantes inyecten datos maliciosos que podrían bloquear la aplicación, mostrar sitios web incorrectos o ejecutar código dañino en navegadores.
Detalle técnico
La biblioteca dns no valida los nombres de host devueltos de consultas DNS, permitiendo ataques de inyección de respuestas DNS. Los atacantes pueden explotarlo mediante manipulación DNS a nivel de red o servidores DNS comprometidos para desencadenar cargas XSS, RCE o negación de servicio en la aplicación según cómo esta utilice los datos de nombre de host devueltos.
Resumen generado y traducido por IA a partir de la descripción oficial.
Node.js before 16.6.0, 14.17.4, and 12.22.4 is vulnerable to Remote Code Execution, XSS, Application crashes due to missing input validation of host names returned by Domain Name Servers in Node.js dns library which can lead to output of wrong hostnames (leading to Domain Hijacking) and injection vulnerabilities in applications using the library.
Productos afectados
NodeJS · Node¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdfhttps://hackerone.com/reports/1178337https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/https://security.gentoo.org/glsa/202401-02https://security.netapp.com/advisory/ntap-20210923-0001/https://security.netapp.com/advisory/ntap-20211022-0003/https://www.oracle.com/security-alerts/cpujan2022.htmlhttps://www.oracle.com/security-alerts/cpujul2022.htmlhttps://www.oracle.com/security-alerts/cpuoct2021.html