リモートのAlmaLinux 9ホストには、ALSA-2022:6595アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  -これは、1.3.6より前のパッケージに影響を与えます。攻撃者が悪意のあるINIファイルをini.parseで解析するアプリケーションに送信すると、アプリケーションのプロトタイプが汚染されます。これは、コンテキストによってはさらに悪用される可能性があります。(CVE-2020-7788)

  -これは、5.1.2より前のパッケージ glob-parent に影響を与えます。エンクロージャ正規表現は、パスセパレーターを含むエンクロージャで終わる文字列をチェックするために使用されていました。(CVE-2020-28469)

  - ansi-regex は非効率的な正規表現の複雑性に対して脆弱です (CVE-2021-3807)

  - Node.js の normalize-url パッケージの 4.5.1 より前、5.3.1 より前の 5.x、および 6.0.1 より前の 6.x には、data: URL に対して指数関数的なパフォーマンスがあるため、ReDoS (正規表現のサービス拒否) の問題があります。
    (CVE-2021-33502)

  - npm パックは、ワークスペースで、またはワークスペースフラグ付きで実行される場合、root レベルの .gitignore および .npmignore ファイル除外ディレクティブを無視します (例:「--workspaces」、「--workspace=<name>」)。v7.9.0 や v7.13.0 では、ワークスペース内で「npm pack」や「npm publish」を実行したことがあるユーザーは、影響を受ける可能性があり、含めるつもりのない npm レジストリにファイルを公開している可能性があります。ユーザーは、npm v8.11.0、runnpm i -g npm@latest のパッチを適用した最新バージョンにアップグレードする必要があります。Node.js バージョン v16.15.1、v17.19.1、および v18.3.0 には、パッチが適用された npm の v8.11.0 バージョンが含まれています。(CVE-2022-29244)

  - Node.js バージョン <14.20.0、<16.16.0、<18.5.0 に OS コマンドインジェクションの脆弱性が存在します。これは、IsIPAddress が DBS リクエストを行う前に IP アドレスが無効かどうかを適切にチェックしないため、容易にバイパスできる IsAllowedHost チェックが不十分なためです。これにより、再バインド攻撃が可能になります。(CVE-2022-32212)

  - Node.js の http モジュールの llhttp パーサー <v14.20.1、<v16.17.1、および <v18.9.1 が Transfer-Encoding ヘッダーを正しく解析および検証せず、HTTP Request Smuggling (HRS) につながる可能性があります。(CVE-2022-32213)

  - Node.js の http モジュールの <v14.20.1、<v16.17.1 および <v18.9.1 パーサーは、HTTP リクエストの区切りに CRLF シーケンスを厳密には使用しません。これにより、HTTP リクエストスマグリングが引き起こされる可能性があります (HRS)。
    (CVE-2022-32214)

  - Node.js の http モジュールの llhttp パーサー <v14.20.1、<v16.17.1 および <v18.9.1 が、複数行の Transfer-Encoding ヘッダーを適切に処理しません。これにより、HTTP リクエストスマグリングが引き起こされる可能性があります (HRS)。
    (CVE-2022-32215)

  -Node.js の [] より前のパッケージ (

検出

AlmaLinux 9nodejs and nodejs-nodemonALSA-2022:6595

critical Nessus プラグイン ID 166249

バージョン 1.4