漏洞公告
近日,安恒信息应急响应中心监测到Node.js发布安全更新,其中修复了一个远程代码执行漏洞,漏洞编号:CVE-2021-22931,攻击者可利用该漏洞在目标服务器上执行任意代码。
官方公告链接:https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/
一
影响范围
影响版本:
Node.js 12.x < 12.22.5(LTS)
Node.js 14.x < 14.17.5(LTS)
Node.js 16.x < 16.6.2(Current)
通过安恒SUMAP平台对全球部署的Node.js进行统计,最新查询分布情况如下:
全球分布:
国内分布:
二
漏洞描述
该漏洞由于Node.js DNS 库缺少对输入的主机名进行有效的安全验证,导致输出错误的主机名可能导致域名劫持和代码注入,攻击者可远程利用该漏洞进行XSS攻击,可能造成程序崩溃或远程代码执行,导致服务器被攻击者控制。
三
缓解措施
高危:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议及时测试并升级到漏洞修复的版本。
处置建议:升级Node.js至安全版本,可通过执行node -v 查看当前node.js版本
安恒应急响应中心
2021年08月
本文始发于微信公众号(安恒信息应急响应中心):Node.js远程代码执行漏洞风险提示
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论