漏洞名称 |
Nodejs Dll 劫持漏洞 |
||
公开时间 |
2022-07-12 |
更新时间 |
2022-07-13 |
CVE编号 |
CVE-2022-32223 |
其他编号 |
QVD-2022-10913 |
威胁类型 |
代码执行 |
技术类型 |
Dll劫持 |
厂商 |
Nodejs |
产品 |
Nodejs |
风险等级 |
|||
奇安信CERT风险评级 |
风险等级 |
||
高危 |
蓝色(一般事件) |
||
现时威胁状态 |
|||
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
已发现 |
未发现 |
未发现 |
已公开 |
漏洞描述 |
在nodejs中存在dll劫持漏洞,攻击者可以通过dll劫持向nodejs内注入恶意dll,从而执行代码 |
||
影响版本 |
Nodejs < 14.20.0 16.0.0 <= Nodejs < 16.16.0 17.0.0 <= Nodejs < 18.5.0 |
||
不受影响版本 |
Nodejs >= 16.16.0 Nodejs >= 18.5.0 Nodejs >= 14.20.0 |
||
其他受影响组件 |
无 |
目前,奇安信CERT已成功复现该漏洞,截图如下:
漏洞名称 |
Nodejs Dll 劫持漏洞 |
|||
CVE编号 |
CVE-2022-32223 |
其他编号 |
QVD-2022-10913 |
|
CVSS 3.1评级 |
高危 |
CVSS 3.1分数 |
8.4 |
|
CVSS向量 |
访问途径(AV) |
攻击复杂度(AC) |
||
本地 |
低 |
|||
所需权限(PR) |
用户交互(UI) |
|||
无 |
不需要 |
|||
影响范围(S) |
机密性影响(C) |
|||
不改变 |
高 |
|||
完整性影响(I) |
可用性影响(A) |
|||
高 |
高 |
|||
危害描述 |
攻击者可以通过dll劫持向nodejs内注入恶意dll,从而在Nodejs内执行代码,危害业务安全。 |
1.升级版本
升级Nodejs到以下版本
>= 16.16.0
>= 18.5.0
>= 14.20.0
[1]https://blog.aquasec.com/cve-2022-32223-dll-hijacking
[2]https://security.snyk.io/vuln/SNYK-UPSTREAM-NODE-2946727
推荐阅读
文章来源:奇安信 CERT
文章评论