Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al módulo cruddl de Node.js, que permitiría a un atacante realizar ejecución remota de código (RCE).
La vulnerabilidad identificada como CVE-2022-36084, de severidad “alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una inyección AQL en ArangoDB a través del componente flexSearch en el módulo cruddl (cuando por lo menos un tipo de entidad raíz posee el parámetro “@flexSearchFulltext” habilitado). Esto permitiría a un atacante a través de una solicitud especialmente diseñada, realizar ejecución remota de código (RCE).
Las versiones afectadas son:
- Node.js cruddl, versiones previas a 2.7.0 (desde la versión 1.1.0).
- Node.js cruddl, versiones previas a 3.0.2 (desde la versión 1.1.0).
Recomendamos acceder al repositorio correspondiente propuesto por Github en el siguiente enlace:
Adicionalmente recomendamos eliminar temporalmente de los esquemas el parámetro “@flexSearchFulltext” antes de actualizar cruddl.
Referencias: