Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01892

Опубликовано: 16 авг. 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость библиотеки dns программной платформы Node.js связана с неправильной обработкой нетипичных символов в доменных именах. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
Node.js Foundation
IBM Corp.

Наименование ПО

Debian GNU/Linux
Node.js
Voice Gateway
IBM Cloud Transformation Advisor

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
от 12.0.0 до 12.22.4 (Node.js)
от 13.0.0 до 14.17.4 (Node.js)
от 15.0.0 до 16.6.0 (Node.js)
1.0.7.1 (Voice Gateway)
2.4.4 (IBM Cloud Transformation Advisor)

Тип ПО

Операционная система
Сетевое программное средство
Сетевое средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для Node.js:
использование рекомендаций производителя: https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22931
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6507409
https://www.ibm.com/support/pages/node/6493863

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 72%
0.00738
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-22931

CVSS3: 9.8
ubuntu
почти 4 года назад

Node.js before 16.6.0, 14.17.4, and 12.22.4 is vulnerable to Remote Code Execution, XSS, Application crashes due to missing input validation of host names returned by Domain Name Servers in Node.js dns library which can lead to output of wrong hostnames (leading to Domain Hijacking) and injection vulnerabilities in applications using the library.

redhat логотип

CVE-2021-22931

CVSS3: 5
redhat
почти 4 года назад

Node.js before 16.6.0, 14.17.4, and 12.22.4 is vulnerable to Remote Code Execution, XSS, Application crashes due to missing input validation of host names returned by Domain Name Servers in Node.js dns library which can lead to output of wrong hostnames (leading to Domain Hijacking) and injection vulnerabilities in applications using the library.

nvd логотип

CVE-2021-22931

CVSS3: 9.8
nvd
почти 4 года назад

Node.js before 16.6.0, 14.17.4, and 12.22.4 is vulnerable to Remote Code Execution, XSS, Application crashes due to missing input validation of host names returned by Domain Name Servers in Node.js dns library which can lead to output of wrong hostnames (leading to Domain Hijacking) and injection vulnerabilities in applications using the library.

msrc логотип

CVE-2021-22931

CVSS3: 9.8
msrc
почти 4 года назад

Описание отсутствует

debian логотип

CVE-2021-22931

CVSS3: 9.8
debian
почти 4 года назад

Node.js before 16.6.0, 14.17.4, and 12.22.4 is vulnerable to Remote Co ...

EPSS

Процентиль: 72%
0.00738
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2