CVE-2022-43548
CVE-2022-43548
En resumen
Las versiones de Node.js anteriores a 14.21.1, 16.18.1, 18.12.1 y 19.0.1 permiten que atacantes eludan controles de seguridad y realicen ataques de rebinding de DNS, permitiendo potencialmente la ejecución no autorizada de comandos o acceso a servicios internos.
Detalle técnico
Existe una vulnerabilidad de rebinding de DNS debido a la validación incompleta de direcciones IP en la verificación IsAllowedHost (corrección parcial de CVE-2022-32212). Un atacante puede manipular respuestas DNS para redirigir solicitudes destinadas a servicios externos hacia direcciones IP internas, eludiendo la validación de host y habilitando ataques SSRF o inyección de comandos contra aplicaciones Node.js.
Resumen generado y traducido por IA a partir de la descripción oficial.
A OS Command Injection vulnerability exists in Node.js versions <14.21.1, <16.18.1, <18.12.1, <19.0.1 due to an insufficient IsAllowedHost check that can easily be bypassed because IsIPAddress does not properly check if an IP address is invalid before making DBS requests allowing rebinding attacks.The fix for this issue in https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32212 was incomplete and this new CVE is to complete the fix.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
NodeJS · Node¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://lists.debian.org/debian-lts-announce/2023/02/msg00038.htmlhttps://nodejs.org/en/blog/vulnerability/november-2022-security-releases/https://security.netapp.com/advisory/ntap-20230120-0004/https://security.netapp.com/advisory/ntap-20230427-0007/https://www.debian.org/security/2023/dsa-5326