PT-2022-7565 · Node.Js+9 · Node.Js+9

Zeyu Zhang

Publicado

2022-07-07

Atualizado

2026-05-18

CVE-2022-32212

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões do Node.js anteriores à 14.20.0

Versões do Node.js anteriores à 16.20.0

Versões do Node.js anteriores à 18.5.0

Descrição

Existe uma vulnerabilidade de injeção de comando do sistema operacional no Node.js devido a uma verificação insuficiente do IsAllowedHost, que pode ser facilmente contornada porque o IsIPAddress não verifica adequadamente se um endereço IP é inválido antes de fazer solicitações ao banco de dados, permitindo ataques de rebinding. A vulnerabilidade está relacionada à função IsIPAddress, que carece de medidas de validação de entrada. Isso permite que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço.

Recomendações

Para versões anteriores à 14.20.0, atualize para a versão 14.20.0 ou posterior.

Para versões anteriores à 16.20.0, atualize para a versão 16.20.0 ou posterior.

Para versões anteriores à 18.5.0, atualize para a versão 18.5.0 ou posterior.

Correção

Improper Access Control

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-78

Identificadores relacionados

ALSA-2022:6448

ALSA-2022:6595

ALT-PU-2022-2701

ALT-PU-2022-3073

ALT-PU-2022-3235

ALT-PU-2023-1461

AZL-10149

BDU:2024-07321

BIT-NODE-2022-32212

BIT-NODE-MIN-2022-32212

CESA-2022_6448

CESA-2022_6449

CLEANSTART-2026-BD71263

CLEANSTART-2026-IS74202

CLEANSTART-2026-JR35772

CLEANSTART-2026-JY06700

CLEANSTART-2026-KN34553

CLEANSTART-2026-KZ45320

CLEANSTART-2026-LJ44720

CLEANSTART-2026-LN12820

CLEANSTART-2026-TX00223

CLEANSTART-2026-WI75198

CVE-2022-32212

DLA-3137-1

DSA-5326-1

MGASA-2022-0294

MGASA-2022-0354

OESA-2023-1551

OPENSUSE-SU-2022_2425-1

OPENSUSE-SU-2022_2430-1

OPENSUSE-SU-2022_2491-1

OPENSUSE-SU-2022_2551-1

OPENSUSE-SU-2022_2855-1

OPENSUSE-SU-2023_0419-1

OPENSUSE-SU-2024:12199-1

OPENSUSE-SU-2024:12349-1

RHSA-2022:6389

RHSA-2022:6448

RHSA-2022:6449

RHSA-2022:6595

RHSA-2022:6985

RHSA-2022_6448

RHSA-2022_6449

RHSA-2022_6595

RLSA-2022:6448

RLSA-2022:6449

RLSA-2022:6595

SUSE-SU-2022:2415-1

SUSE-SU-2022:2416-1

SUSE-SU-2022:2417-1

SUSE-SU-2022:2425-1

SUSE-SU-2022:2430-1

SUSE-SU-2022:2491-1

SUSE-SU-2022:2551-1

SUSE-SU-2022:2855-1

SUSE-SU-2022_2415-1

SUSE-SU-2022_2416-1

SUSE-SU-2022_2425-1

SUSE-SU-2022_2430-1

SUSE-SU-2022_2491-1

SUSE-SU-2022_2551-1

SUSE-SU-2023:0408-1

SUSE-SU-2023:0419-1

SUSE-SU-2023_0408-1

SUSE-SU-2023_0419-1

USN-6491-1

Produtos afetados

Alt Linux

Almalinux

Astra Linux

Centos

Linuxmint

Node.Js

Red Hat

Rocky Linux

Suse

Ubuntu

PT-2022-7565 · Node.Js+9 · Node.Js+9

CVE-2022-32212

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 301