Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-32212

Опубликовано: 14 июл. 2022
Источник: nvd
CVSS3: 8.1
EPSS Низкий

Описание

A OS Command Injection vulnerability exists in Node.js versions <14.20.0, <16.20.0, <18.5.0 due to an insufficient IsAllowedHost check that can easily be bypassed because IsIPAddress does not properly check if an IP address is invalid before making DBS requests allowing rebinding attacks.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
Версия от 14.0.0 (включая) до 14.14.0 (включая)
cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:*
Версия от 14.15.0 (включая) до 14.20.1 (исключая)
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
Версия от 16.0.0 (включая) до 16.12.0 (включая)
cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:*
Версия от 16.13.0 (включая) до 16.17.1 (исключая)
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
Версия от 18.0.0 (включая) до 18.5.0 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:siemens:sinec_ins:*:*:*:*:*:*:*:*
Версия до 1.0 (исключая)
cpe:2.3:a:siemens:sinec_ins:1.0:-:*:*:*:*:*:*
cpe:2.3:a:siemens:sinec_ins:1.0:sp1:*:*:*:*:*:*

EPSS

Процентиль: 25%
0.00082
Низкий

8.1 High

CVSS3

Дефекты

CWE-284
CWE-78

Связанные уязвимости

ubuntu логотип

CVE-2022-32212

CVSS3: 8.1
ubuntu
больше 3 лет назад

A OS Command Injection vulnerability exists in Node.js versions <14.20.0, <16.20.0, <18.5.0 due to an insufficient IsAllowedHost check that can easily be bypassed because IsIPAddress does not properly check if an IP address is invalid before making DBS requests allowing rebinding attacks.

redhat логотип

CVE-2022-32212

CVSS3: 7.5
redhat
больше 3 лет назад

A OS Command Injection vulnerability exists in Node.js versions <14.20.0, <16.20.0, <18.5.0 due to an insufficient IsAllowedHost check that can easily be bypassed because IsIPAddress does not properly check if an IP address is invalid before making DBS requests allowing rebinding attacks.

msrc логотип

CVE-2022-32212

CVSS3: 8.1
msrc
около 3 лет назад

Описание отсутствует

debian логотип

CVE-2022-32212

CVSS3: 8.1
debian
больше 3 лет назад

A OS Command Injection vulnerability exists in Node.js versions <14.20 ...

github логотип

GHSA-w95h-2gj2-x2p4

CVSS3: 8.1
github
больше 3 лет назад

A OS Command Injection vulnerability exists in Node.js versions <14.20.0, <16.20.0, <18.5.0 due to an insufficient IsAllowedHost check that can easily be bypassed because IsIPAddress does not properly check if an IP address is invalid before making DBS requests allowing rebinding attacks.

EPSS

Процентиль: 25%
0.00082
Низкий

8.1 High

CVSS3

Дефекты

CWE-284
CWE-78