PT-2020-16994 · Npm · Private-Ip
Publicado
2020-11-23
·
Atualizado
2021-08-08
·
CVE-2020-28360
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Pacote npm private-ip, versões 1.0.5 e anteriores
Descrição
O problema está relacionado à filtragem RegEx insuficiente no pacote npm private-ip, o que resulta em uma falha indeterminada de falsificação de solicitação do lado do servidor (SSRF). Isso permite que invasores remotos solicitem recursos do lado do servidor ou, potencialmente, executem código arbitrário por meio de várias técnicas de SSRF, realizando uma ampla gama de solicitações para intervalos de IP reservados pela ARIN. Estima-se que a vulnerabilidade afete mais de 12.000 instalações semanais.
Recomendações
Para as versões 1.0.5 e anteriores do pacote npm private-ip, atualize para uma versão superior à 1.0.5 para resolver o problema. Como solução temporária, considere restringir o acesso ao pacote
private-ip até que um patch esteja disponível. Evite usar o pacote para filtrar intervalos de IP reservados até que o problema seja resolvido.Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Private-Ip