NCSC-2022-0316 [1.00] [M/H] Kwetsbaarheden verholpen in node.js

Er zijn kwetsbaarheden verholpen in node.js. De kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:

Denial-of-Service (DoS)
(Remote) code execution (Gebruikersrechten)
Toegang tot systeemgegevens

Voor de kwetsbaarheid met kenmerk CVE-2021-44906 is Proof-of-Concept code beschikbaar. Misbruik van deze kwetsbaarheid in minimist vereist dat een aanvaller controle heeft over de path-variabele of gebruik maakt van de merge-functie om twee code-objecten samen te voegen. Daarnaast moet er gebruik worden gemaakt van een functie zoals ‘eval’ om een Remote code execution-aanval uit te voeren. In een standaard implementatie is het goed gebruik dat deze werkwijzen niet gebruikt worden. We schalen de configuratie daarom in als niet-standaard.