SK-CERT Bezpečnostné varovanie V20201012-02
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
9.9 |
Identifikátor |
Node.js – zraniteľnosti viacerých modulov |
Popis |
Bezpečnostní výskumníci zverejnili informácie o zraniteľnostiach Node.js modulov phantomjs-seo, node-pdf-generator, hello.js, simpl-schema a next. Zraniteľnosti v moduloch phantomjs-seo a node-pdf-generator sú spôsobené nedostatočným overovaním používateľských vstupov a vzdialený neautentifikovaný útočník by ich mohol zneužiť na realizáciu SSRF útokov (Server Side Request Forgery). Zraniteľnosť v module hello.js spočíva v nedostatočnom overovaní používateľských vstupov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu XSS útokov (Cross Site Scripting). Zraniteľnosť v module simpl-schema by vzdialený neautentifikovaný útočník mohol zneužiť na zneprístupnenie služby. Open-redirect zraniteľnosť v module next by vzdialený neautentifikovaný útočník mohol zneužiť na presmerovanie v rámci phishingových kampaní. |
Dátum prvého zverejnenia varovania |
05.10.2020 (posledná aktualizácia 07.10.2020) |
CVE |
CVE-2020-15242, CVE-2020-7739, CVE-2020-7740, CVE-2020-7741, CVE-2020-7742 |
IOC |
– |
Zasiahnuté systémy |
Node.js phantomjs-seo verzie 1.0.0 Node.js node-pdf-generator verzie 0.0.6 Node.js hello.js verzie 1.18.5 Node.js simpl-schema verzie 1.10.1 Node.js next verzie staršie ako 9.5.0 až 9.5.3 |
Následky |
Vykonanie škodlivého kódu Zneprístupnenie služby |
Odporúčania |
Na zraniteľnosti phantomjs-seo, node-pddf-generator v súčasnosti nie sú dostupné aktualizácie. Odporúčame uistiť sa, či Vaše aplikácie nevyužívajú predmetné Node.js moduly. V prípade, že áno, do vydania bezpečnostných aktualizácií odporúčame dané moduly nepoužívať. Administrátorom aplikácií využívajúcich hello.js a simpl-schema odporúčame vykonať aktualizáciu zasiahnutých systémov. |
« Späť na zoznam