SK-CERT Bezpečnostné varovanie V20201012-02
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP WHITE |
| CVSS Skóre |
9.9 |
| Identifikátor |
| Node.js – zraniteľnosti viacerých modulov |
| Popis |
| Bezpečnostní výskumníci zverejnili informácie o zraniteľnostiach Node.js modulov phantomjs-seo, node-pdf-generator, hello.js, simpl-schema a next. Zraniteľnosti v moduloch phantomjs-seo a node-pdf-generator sú spôsobené nedostatočným overovaním používateľských vstupov a vzdialený neautentifikovaný útočník by ich mohol zneužiť na realizáciu SSRF útokov (Server Side Request Forgery). Zraniteľnosť v module hello.js spočíva v nedostatočnom overovaní používateľských vstupov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu XSS útokov (Cross Site Scripting). Zraniteľnosť v module simpl-schema by vzdialený neautentifikovaný útočník mohol zneužiť na zneprístupnenie služby. Open-redirect zraniteľnosť v module next by vzdialený neautentifikovaný útočník mohol zneužiť na presmerovanie v rámci phishingových kampaní. |
| Dátum prvého zverejnenia varovania |
| 05.10.2020 (posledná aktualizácia 07.10.2020) |
| CVE |
| CVE-2020-15242, CVE-2020-7739, CVE-2020-7740, CVE-2020-7741, CVE-2020-7742 |
| IOC |
| – |
| Zasiahnuté systémy |
| Node.js phantomjs-seo verzie 1.0.0 Node.js node-pdf-generator verzie 0.0.6 Node.js hello.js verzie 1.18.5 Node.js simpl-schema verzie 1.10.1 Node.js next verzie staršie ako 9.5.0 až 9.5.3 |
| Následky |
| Vykonanie škodlivého kódu Zneprístupnenie služby |
| Odporúčania |
| Na zraniteľnosti phantomjs-seo, node-pddf-generator v súčasnosti nie sú dostupné aktualizácie. Odporúčame uistiť sa, či Vaše aplikácie nevyužívajú predmetné Node.js moduly. V prípade, že áno, do vydania bezpečnostných aktualizácií odporúčame dané moduly nepoužívať. Administrátorom aplikácií využívajúcich hello.js a simpl-schema odporúčame vykonať aktualizáciu zasiahnutých systémov. |
« Späť na zoznam
