Node.JS Snyk – CVE-2022-24441
Date de publication :
Une faille de type « injection de code » affectant le module Snyk de Node.JS permet à un attaquant, en persuadant la victime de scanner un dépôt spécifiquement forgé, d’exécuter du code arbitraire sur le système avec les privilèges de l’application.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire.
Exploitation
La vulnérabilité exploitée est du type
CWE-94: Improper Control of Generation of Code ('Code Injection').
Détails sur l’exploitation
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Systèmes ou composants affectés
Les versions Node.Js Snyk antérieures à la 1.1063.0 (comprise).
Les environnements de développement intégrés ci-dessous, utilisant le module Snyk comme extension, sont vulnérables :
- VS Code pour les versions antérieures à 1.8.0 (comprise)
- Eclipse pour les versions antérieures à 20221115.132308 (comprise)
- Visual studio pour les versions antérieures à 1.1.30 (comprise)
- Intellij pour les versions antérieures à 2.4.47 (comprise)
Solutions ou recommandations
Installer la version 1.1064.0 de Node.JS Snyk disponible via le gestionnaire de paquets NPM.
Pour les environnements de développement intégrés, installer les versions suivantes :
- VS Code la version 1.9.0,
- Eclipse les versions ultérieures à 20221115.132308,
- Visual studio la version 1.1.31,
- Intellij la version 2.4.48.
Si les correctifs des environnements de développement ne peuvent être appliqués, il est recommandé de mettre à jour les extensions via les dépôts github des éditeurs : vscode, eclipse, visual studio et intelij.