CVE-2020-26149

nats.js versões 2.0.0-201 a 2.0.0-208

nats.ws versões 1.0.0-85 a 1.0.0-110

nats.deno versões anteriores à 1.0.0-9

A vulnerabilidade diz respeito a uma falha de divulgação de informações nas versões de pré-visualização do projeto NATS de dois pacotes NPM e um pacote Deno. Essa falha causa o vazamento de opções, incluindo credenciais privadas TLS, de um cliente para um servidor. O cliente nats.js suporta Mutual TLS, e as credenciais da chave do cliente TLS estão incluídas nas opções de configuração da conexão, levando à divulgação da chave privada TLS do cliente para o servidor. A maioria dos mecanismos de autenticação é tratada após a conexão e não é afetada. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi fornecido. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Para as versões 2.0.0-201 a 2.0.0-208 do nats.js, atualize para a versão 2.0.0-209 ou posterior e reemita todas as credenciais de cliente TLS com novas chaves.

Para as versões 1.0.0-85 a 1.0.0-110 do nats.ws, atualize para a versão 1.0.0-111 ou posterior.

Para versões do nats.deno anteriores à 1.0.0-9, atualize para a versão 1.0.0-9 ou posterior.

Como solução temporária, considere desativar o Mutual TLS até que um patch esteja disponível. Restrinja o acesso a servidores não confiáveis para minimizar o risco de exploração. Evite desativar a verificação TLS para impedir o vazamento de credenciais de autenticação.