安全公告/【CVE-2022-43548】
基本信息
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:nodejs
CVSS评分:8.1
发现日期:2024/9/19
修复日期:2024/10/16
修复版本:nodejs-12.22.11-2
漏洞描述
由于 IsAllowedHost 检查不足,Node.js 版本 <14.21.1、<16.18.1、<18.12.1、<19.0.1 中存在 OS 命令注入漏洞,该漏洞很容易被绕过,因为 IsIPAddress 在发出 DBS 请求之前没有正确检查 IP 地址是否无效,从而允许重新绑定攻击。 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32212 中对此问题的修复不完整,这个新的 CVE 将完成修复。
漏洞判定
执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复
修复方式
软件包升级 dnf update nodejs
参考
https://nodejs.org/en/blog/vulnerability/november-2022-security-releases/
https://security.netapp.com/advisory/ntap-20230120-0004/
https://www.debian.org/security/2023/dsa-5326
https://lists.debian.org/debian-lts-announce/2023/02/msg00038.html
https://security.netapp.com/advisory/ntap-20230427-0007/