NJS Nginx - CVE-2022-43286

Date de publication :

NJS est une variante du langage JavaScript permettant d'étendre les fonctionnalités de Nginx.

Une erreur d’utilisation de mémoire tampon après libération dans la fonction njs_json_parse_iterator_call du fichier njs_json.c permet à un attaquant distant, en envoyant une requête spécialement forgée, de provoquer un déni de service ou d’exécuter du code arbitraire sur le système.

CVE-2022-43286

[Score CVSS v3.1: 9.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques
  • Exécution de code arbitraire.
  • Déni de service

Exploitation

La vulnérabilité exploitée est du type

CWE-416: Use After Free

Détails sur l’exploitation

  • Vecteur d’attaque : Réseau.

  • Complexité de l’attaque : Faible.

  • Privilèges nécessaires pour réaliser l’attaque : Aucun.

  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Aucun.

  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Systèmes ou composants affectés

Nginx NJS

version 0.7.2

Solutions ou recommandations

  • Mettre à jour Nginx NJS à la version 0.7.8.
  • Des informations supplémentaires sont disponibles ici.

Liens