Vulnerabilidad de ejecución de código arbitrario en Node.js

INTRODUCCIÓN

Node.js ha emitido un aviso debido al descubrimiento de siete nuevas vulnerabilidades.

ANÁLISIS

Entre las vulnerabilidades se encuentran 3 vulnerabilidades de HTTP request smuggling de criticidad media (CVE-2022-32213, CVE-2022-32214, CVE-2022-32215), 1 vulnerabilidad de DLL hijacking de criticidad alta (CVE-2022-32223) y 1 vulnerabilidad de ejecución de código de criticidad alta (CVE-2022-3212).

CVE-2022-3212, probablemente la más crítica, se debe a que la comprobación IsAllowedHost puede ser fácilmente eludida porque IsIPAddress no comprueba adecuadamente si una dirección IP es inválida o no. Cuando se proporciona una dirección IPv4 no válida, los navegadores realizarán peticiones DNS al servidor DNS, proporcionando un vector para un servidor DNS controlado por un atacante o un MITM que puede falsificar las respuestas DNS para realizar un ataque de rebinding y, por tanto, conectarse al depurador WebSocket, permitiendo la ejecución de código arbitrario. Esto es un bypass de CVE-2021-22884.

Versiones afectadas:

• Todas las versiones de las versiones 18.x, 16.x y 14.x

RECOMENDACIONES

Se aconseja a los usuarios que actualicen a las últimas versiones de 18.x, 16.x y 14.x.

REFERENCIAS

https://nodejs.org/en/blog/vulnerability/july-2022-security-releases/