当前位置:首页 > 漏洞预警 > 正文

Node.js两个高危漏洞预警

发布时间:2021-08-18 19:57:11,来源:北京奇虎科技有限公司、启明星辰信息技术集团股份有限公司

      一、 基本情况

近日,Node.js发布了安全更新,修复了Node.js中的多个安全漏洞,其中漏洞CVE-2021-22931、CVE-2021-22940为高危漏洞,攻击者可利用这些漏洞执行跨站脚本攻击、使应用程序崩溃(拒绝服务)、远程执行恶意代码和造成内存破坏。目前官方已修复该漏洞,建议受影响用户及时更新至安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

Node.js是一个基于Chrome V8引擎的JavaScript运行环境,它使用高效、轻量级的事件驱动、非阻塞I/O模型。Node.js中的包管理器npm,是全球主流的开源库生态系统。

1. CVE-2021-22931 远程代码执行漏洞

该漏洞源于Node.js DNS库中的域名服务器对返回的主机名缺少输入验证,可导致错误的主机名输出(导致域名劫持)和应用的注入漏洞,攻击者可利用该漏洞实现远程代码执行、跨站脚本攻击及造成应用崩溃。

2. CVE-2021-22940 释放后重用漏洞

该漏洞源于释放后重用,攻击者可利用该漏洞造成内存破坏从而改变进程行为。该漏洞是因漏洞CVE-2021-22930未能完全修复而导致。

      四、 影响范围

Node.js 12.x < 12.22.5 (LTS)

Node.js 14.x < 14.17.5 (LTS)

Node.js 16.x < 16.6.2 (Current)

      五、 安全建议

建议受影响用户及时升级更新到以下安全版本:

Node.js v12.22.5 (LTS)

Node.js v14.17.5 (LTS)

Node.js v16.6.2 (Current)

下载链接:

https://nodejs.org/en/download/

      六、 参考链接

https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/

https://nodejs.org/en/blog/release/v12.22.5/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931