Seguridad

Solucionada vulnerabilidad crítica de Node.js

Los desarrolladores de NodeJS compartieron el pasado 11 de Agosto un boletín de seguridad en el cual se presentan tres vulnerabilidades, dos de ellas críticas.

La primera vulnerabilidad «CVE-2021-3672/CVE-2021-2293» consiste en un manejo inadecuado de caracteres atípicos en el DNS, fallo el cual provocaba ejecución remota de código, XSS o caídas en el aplicativo, debido a la validación impropia de los hostname devueltos por los Servidores de Nombres de Dominio en la librería DNS de Node.js.

Dicho error puede provocar la salida de nombres de dominio erróneos (pudiendo acabar en domain hijacking) y vulnerabilidades de inyección.

Por otro lado, la vulnerabilidad clasificada como «CVE-2021-22930» hace uso del bug use-after-free, siendo la confidencialidad e integridad comprometidas.

La nueva versión incluye un seguimiento a dicha vulnerabilidad, ya que no fue completamente corregida en el parche anterior.

Por último, en la vulnerabilidad clasificada como «CVE-2021-22939» se explota una validación incorrecta del parámetro rejectUnauthorized.

En ella, un atacante podría hacer uso de la API HTTPS para asignar undefined a la variable ya mencionada, con el objetivo de aceptar conexiones con un certificado caducado sin obtener ningún error, ha sido clasificada como leve

Más información:

https://nodejs.org/en/blog/release/v16.6.2/

https://nvd.nist.gov/vuln/detail/CVE-2021-22931

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22930

https://nvd.nist.gov/vuln/detail/CVE-2021-22939

La entrada Solucionada vulnerabilidad crítica de Node.js se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.