Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-04391

Опубликовано: 07 июл. 2022
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость библиотеки providers.dll программной платформы Node.js связана с неконтролируемым элементом пути поиска при загрузке библиотек DLL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Node.js Foundation

Наименование ПО

Node.js

Версия ПО

от 14.0.0 до 14.20.0 (Node.js)
от 16.0.0 до 16.16.0 (Node.js)
от 18.0.0 до 18.5.0 (Node.js)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 14.20.0, 16.16.0, 18.5.0 или выше

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 92%
0.09405
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-32223

CVSS3: 7.3
ubuntu
почти 3 года назад

Node.js is vulnerable to Hijack Execution Flow: DLL Hijacking under certain conditions on Windows platforms.This vulnerability can be exploited if the victim has the following dependencies on a Windows machine:* OpenSSL has been installed and “C:\Program Files\Common Files\SSL\openssl.cnf” exists.Whenever the above conditions are present, `node.exe` will search for `providers.dll` in the current user directory.After that, `node.exe` will try to search for `providers.dll` by the DLL Search Order in Windows.It is possible for an attacker to place the malicious file `providers.dll` under a variety of paths and exploit this vulnerability.

nvd логотип

CVE-2022-32223

CVSS3: 7.3
nvd
почти 3 года назад

Node.js is vulnerable to Hijack Execution Flow: DLL Hijacking under certain conditions on Windows platforms.This vulnerability can be exploited if the victim has the following dependencies on a Windows machine:* OpenSSL has been installed and “C:\Program Files\Common Files\SSL\openssl.cnf” exists.Whenever the above conditions are present, `node.exe` will search for `providers.dll` in the current user directory.After that, `node.exe` will try to search for `providers.dll` by the DLL Search Order in Windows.It is possible for an attacker to place the malicious file `providers.dll` under a variety of paths and exploit this vulnerability.

debian логотип

CVE-2022-32223

CVSS3: 7.3
debian
почти 3 года назад

Node.js is vulnerable to Hijack Execution Flow: DLL Hijacking under ce ...

github логотип

GHSA-fxjx-rf8x-pxw8

CVSS3: 7.3
github
почти 3 года назад

Node.js is vulnerable to Hijack Execution Flow: DLL Hijacking under certain conditions on Windows platforms.This vulnerability can be exploited if the victim has the following dependencies on a Windows machine:* OpenSSL has been installed and “C:\Program Files\Common Files\SSL\openssl.cnf” exists.Whenever the above conditions are present, `node.exe` will search for `providers.dll` in the current user directory.After that, `node.exe` will try to search for `providers.dll` by the DLL Search Order in Windows.It is possible for an attacker to place the malicious file `providers.dll` under a variety of paths and exploit this vulnerability.

EPSS

Процентиль: 92%
0.09405
Низкий

7.3 High

CVSS3

7.5 High

CVSS2