PT-2021-6615 · Node.Js+6 · Node.Js+6
Publicado
2021-08-12
·
Atualizado
2026-05-18
·
CVE-2021-22931
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Node.js anteriores à 16.6.0
Versões do Node.js anteriores à 14.17.4
Versões do Node.js anteriores à 12.22.4
Descrição
O problema está relacionado à biblioteca dns do Node.js, que não possui validação adequada de nomes de host retornados pelos Servidores de Nomes de Domínio. Isso pode levar à geração de nomes de host incorretos, resultando em vulnerabilidades de sequestro de domínio e injeção em aplicativos que utilizam a biblioteca. A vulnerabilidade pode ser explorada por um invasor remoto para obter acesso a dados confidenciais, comprometer a integridade dos dados e causar uma negação de serviço. A vulnerabilidade está associada ao tratamento incorreto de caracteres incomuns em nomes de domínio.
Recomendações
Para versões anteriores à 16.6.0, atualize para a versão 16.6.0 ou posterior.
Para versões anteriores à 14.17.4, atualize para a versão 14.17.4 ou posterior.
Para versões anteriores à 12.22.4, atualize para a versão 12.22.4 ou posterior.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Node.Js
Red Hat
Rocky Linux
Suse