漏洞名称:
Node.js DLL 劫持漏洞
组件名称:
Node.js
影响范围:
Node.js < 14.20.0
16.0.0 ≤ Node.js < 16.16.0
17.0.0 ≤ Node.js < 18.5.0
漏洞类型:
利用条件:
1、用户认证:不需要用户认证
2、前置条件:主机安装了 OpenSSL
3、触发方式:本地
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:高危,能造成代码执行。
漏洞分析
组件介绍
Node.js 是一个基于 Chrome V8 引擎的开源免费跨平台的 JavaScript 运行环境。Node.js 使用了一个事件驱动、非阻塞式 I/O 的模型,使其轻量又高效。
漏洞描述
近日,深信服安全团队监测到一则 Node.js 组件存在 DLL 劫持漏洞的信息,漏洞编号:CVE-2022-32223,漏洞威胁等级:高危。
该漏洞是由于 Node.js 进程尝试加载 providers.dll 时没有指定 DLL 的绝对路径,Windows 会按照特定策略进行搜索以找到所需的 DLL 文件,攻击者可以在当前工作目录写入恶意 DLL 文件进行 DLL劫持攻击,最终执行任意代码。
影响范围
Node.js 作为异步事件驱动的 JavaScript 运行时,旨在构建可扩展的网络应用程序。全球有数千万服务基于 Node.js 运行,可能受漏洞影响的资产广泛分布于世界各地。
目前受影响的 Node.js 版本:
Node.js < 14.20.0
16.0.0 ≤ Node.js < 16.16.0
17.0.0 ≤ Node.js < 18.5.0
解决方案
1.如何检测组件版本
使用 cmd.exe 执行 “node -v” 命令即可获取 Node.js的版本号。
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://nodejs.org/cn/download/
升级方法:
访问 Node.js 官方网站下载最新版本安装即可。
参考链接
-
https://nodejs.org/en/blog/vulnerability/july-2022-security-releases/#dll-hijacking-on-windows-high-cve-2022-32223
-
https://blog.aquasec.com/cve-2022-32223-dll-hijacking
时间轴
2022/7/14
深信服监测到 Node.js DLL 劫持漏洞信息。
2022/7/14
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Node.js DLL劫持漏洞CVE-2022-32223
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论