PT-2022-22662 · Node.Js+6 · Node.Js+6
Bnoordhuis
·
Publicado
2022-09-23
·
Atualizado
2026-05-18
·
CVE-2022-35255
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Node.js versão 18
Descrição
Existe um problema de aleatoriedade fraca no gerador de chaves WebCrypto devido a uma alteração na função EntropySource() em SecretKeyGenTraits::DoKeyGen(), no arquivo src/crypto/crypto keygen.cc. Há dois problemas principais:
-
O valor de retorno de EntropySource() não é verificado, presumindo-se que sempre seja bem-sucedido, mas ele pode falhar.
-
Os dados aleatórios retornados por EntropySource() podem não ser criptograficamente fortes, tornando-os inadequados como material de chave.
Recomendações
Para o Node.js versão 18, considere desativar o uso do gerador de chaves WebCrypto até que um patch esteja disponível para resolver o problema de aleatoriedade fraca. Restrinja o acesso à função
EntropySource() afetada para minimizar o risco de exploração. Evite usar a função SecretKeyGenTraits::DoKeyGen() em src/crypto/crypto keygen.cc até que o problema seja resolvido.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Node.Js
Red Hat
Rocky Linux
Suse