首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Node.js 遠程代碼執行漏洞(CVE-2021-22930)

發布時間 2021-08-02

0x00 漏洞概述

CVE     ID

CVE-2021-22930

時      間

2021-07-29

類      型

RCE

等      級

高危

遠程利用

影響范圍


攻擊復雜度


可用性


用戶交互


所需權限


PoC/EXP


在野利用


 

0x01 漏洞詳情

image.png

2021年7月29日,Node.js發布了v16.x、v14.x 和 v12.x發行版的安全更新,修復了Node.js中的一個Use-After-Free漏洞(CVE-2021-22930),攻擊者可以利用此漏洞破壞進程并導致意外行為,例如使應用程序崩潰(拒絕服務)或遠程執行代碼。

該漏洞與HTTP2 流的處理方式有關。在Node.js解析傳入的RST_STREAM幀(用于終止連接)時,由于對接收到的 RST_STREAM 幀的處理中沒有錯誤代碼和取消錯誤代碼(nghttp2_cancel),接收器將試圖強制清除收到的任何數據,這會導致nghttp2關閉已經破壞的流,從而導致double-free錯誤。

 

影響范圍

16.x、14.x和12.x發行版的所有版本

 

0x02 處置建議

目前此漏洞已經修復。建議及時更新到以下版本:

Node.js v12.22.4 (LTS)

Node.js v14.17.4 (LTS)

Node.js v16.6.0 (Current)

下載鏈接:

https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/

 

0x03 參考鏈接

https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/

https://www.bleepingcomputer.com/news/security/nodejs-fixes-severe-http-bug-that-could-let-attackers-crash-apps/

https://github.com/nodejs/node/pull/39527/commits/ba2ac7bb47406815c98366c5a591053414a1daf3#diff-33f026e43570112875cf4c8eab6743496f3aa014329611128e348ec23d6f771cR2165

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-08-02

首次發布

 

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png         image.png

上一篇 下一篇