Los desarrolladores de NodeJS compartieron el pasado 11 de Agosto un boletín de seguridad en el cual se presentan tres vulnerabilidades, dos de ellas críticas.

La primera vulnerabilidad «CVE-2021-3672/CVE-2021-2293» consiste en un manejo inadecuado de caracteres atípicos en el DNS, fallo el cual provocaba ejecución remota de código, XSS o caídas en el aplicativo, debido a la validación impropia de los hostname devueltos por los Servidores de Nombres de Dominio en la librería DNS de Node.js.

Dicho error puede provocar la salida de nombres de dominio erróneos (pudiendo acabar en domain hijacking) y vulnerabilidades de inyección.

Por otro lado, la vulnerabilidad clasificada como «CVE-2021-22930» hace uso del bug use-after-free, siendo la confidencialidad e integridad comprometidas.

La nueva versión incluye un seguimiento a dicha vulnerabilidad, ya que no fue completamente corregida en el parche anterior.

Por último, en la vulnerabilidad clasificada como «CVE-2021-22939» se explota una validación incorrecta del parámetro rejectUnauthorized.

En ella, un atacante podría hacer uso de la API HTTPS para asignar undefined a la variable ya mencionada, con el objetivo de aceptar conexiones con un certificado caducado sin obtener ningún error, ha sido clasificada como leve

Más información:

https://nodejs.org/en/blog/release/v16.6.2/
https://nvd.nist.gov/vuln/detail/CVE-2021-22931
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22930
https://nvd.nist.gov/vuln/detail/CVE-2021-22939