首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Node.js遠程代碼執行漏洞 (CVE-2021-22931)

發布時間 2021-08-13

0x00 漏洞概述

CVE     ID

CVE-2021-22931

時      間

2021-08-11

類      型

RCE

等      級

高危

遠程利用

影響范圍


攻擊復雜度


可用性


用戶交互


所需權限


PoC/EXP


在野利用


 

0x01 漏洞詳情

image.png

Node.js是一個基于Chrome V8引擎的JavaScript運行環境,它使用高效、輕量級的事件驅動、非阻塞 I/O 模型。Node.js中的包管理器npm,是全球主流的開源庫生態系統。

2021年8月11日,Node.js發布了v16.x、v14.x 和 v12.x發行版的安全更新,修復了Node.js中的一個遠程代碼執行漏洞(CVE-2021-22931,高危),詳情如下:

由于Node.js DNS庫中的域名服務器返回的主機名缺少輸入驗證,這可能導致輸出錯誤的主機名(可能導致域名劫持)和使用該庫的應用程序中存在注入漏洞,遠程攻擊者可利用此漏洞執行XSS攻擊、使應用程序崩潰(拒絕服務)或遠程執行惡意代碼。

此外,Node.js本次發布的安全更新還修復了rejectUnauthorized參數的不完整驗證問題(CVE-2021-22939,低危);以及一個Use-after-free漏洞(CVE-2021-22940,高危),該漏洞是CVE-2021-22930的修復不完整導致的,攻擊者可以利用內存損壞來改變進程行為。

 

影響范圍

Node.js 12.x < 12.22.5 (LTS)

Node.js 14.x < 14.17.5 (LTS)

Node.js 16.x < 16.6.2 (Current)

 

0x02 處置建議

目前此漏洞已經修復。建議受影響用戶及時升級更新到以下版本:

Node.js v12.22.5 (LTS)

Node.js v14.17.5 (LTS)

Node.js v16.6.2 (Current)

下載鏈接:

https://nodejs.org/en/download/

 

0x03 參考鏈接

https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/

https://nodejs.org/en/blog/release/v12.22.5/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-08-13

首次發布

 

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png

上一篇 下一篇