首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】npm node-forge開放重定向漏洞 (CVE-2022-0122)

發布時間 2022-01-26


0x00 漏洞概述

CVE     ID

CVE-2022-0122

時      間

2022-01-25

類      型

開放重定向

等      級

中危

遠程利用

影響范圍


攻擊復雜度

用戶交互

PoC/EXP


在野利用


 

0x01 漏洞詳情

node-forge是npm 上被廣泛使用的組件,該組件實現了重要的安全功能,包括傳輸層安全協議、加密功能和原生JavaScript中的web應用開發工具,其每周下載量超過1600 萬次。

1月25日,Sonatype的研究人員公開披露了node-forge中的一個開放重定向漏洞(CVE-2022-0122),其CVSSv3評分為6.1。

該漏洞存在于node-forge的utils.js文件中的parseUrl函數中,由于正則表達式regex無法正確解析某些輸入,導致開放重定向,攻擊者能夠利用此漏洞繞過 URL 解析器、誘使受害者連接到惡意客戶端或將受害者重定向到任意位置等。

image.png

 

影響范圍

node-forge版本 < 1.0.0

 

0x02 安全建議

目前此漏洞已經修復,建議受影響用戶及時升級更新到node-forge v1.0.0或更高版本。

下載鏈接:

https://www.npmjs.com/package/node-forge

 

0x03 參考鏈接

https://blog.sonatype.com/new-year-new-cve-a-deep-dive-into-the-node-forge-cve-2022-0122

https://github.com/digitalbazaar/forge

https://www.npmjs.com/package/node-forge

 

0x04 版本信息

版本

日期

修改內容

V1.0

2022-01-26

首次發布

 

0x05 附錄

公司簡介

啟明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式掛牌上市,是國內極具實力的、擁有完全自主知識產權的網絡安全產品、可信安全管理平臺、安全服務與解決方案的綜合提供商。

公司總部位于北京市中關村軟件園,在全國各省、市、自治區設有分支機構,擁有覆蓋全國的渠道體系和技術支持中心,并在北京、上海、成都、廣州、長沙、杭州等多地設有研發中心。

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

 

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

 

上一篇 下一篇