Especialistas en ciberseguridad reportan la detección de tres vulnerabilidades críticas en Node.js, el popular entorno de ejecución multiplataforma en tiempo real y de código abierto basado en el lenguaje de programación JavaScript.
La primera de las fallas reportadas, identificada como CVE-2021-22931, fue descrita como un error en el manejo de caracteres atípicos en los nombres de dominio que podría ser explotado para desplegar ataques de scripts entre sitios (XSS), ejecución remota de código y forzar fallas en la aplicación afectada.
Al parecer, la falla existe debido a que Node.js no valida correctamente la entrada de los nombres de host devueltos por los servidores en la biblioteca DNS de Node.js, facilitando la salida de nombres de dominio incorrectos. Esta falla es considerada de alta severidad.
Por otra parte, CVE-2021-22930 es una vulnerabilidad use-after-free en la cancelación de transmisión de HTTP2. Los actores podrían abusar de un escenario de corrupción de memoria para alterar el funcionamiento correcto del proceso, resultando en el compromiso de la aplicación afectada. Los investigadores consideran que esta es una vulnerabilidad de severidad media.
Finalmente, CVE-2021-22939 es una falla de validación incompleta del parámetro de rechazo no autorizado. Acorde al reporte, si la API HTTPS de Node.js se usó incorrectamente y se pasó “undefined” para el parámetro “verifyUnauthorized”, el sistema no responde con un error y se aceptan las conexiones a los servidores con un certificado caducado o falsificado. Esta vulnerabilidad es considerada como un error de severidad media.
Hasta el momento se desconoce el puntaje exacto que estas vulnerabilidades recibirán según el Common Vulnerability Scoring System (CVSS), aunque el reporte destaca que ninguna de las fallas reportadas ha sido explotada en escenarios reales.
Los usuarios de implementaciones afectadas deben permanecer al tanto de las plataformas oficiales de Node.js, para así saber cuáles son las mejores formas de prevenir la explotación de estas fallas o la fecha exacta en que los parches de seguridad oficiales estarán disponibles.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad