Vulnerabilidad crítica detectada en módulo de Node.js 

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al módulo cruddl de Node.js, que permitiría a un atacante realizar ejecución remota de código (RCE). 

La vulnerabilidad identificada como CVE-2022-36084, de severidad “alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una inyección AQL en ArangoDB a través del componente flexSearch en el módulo cruddl (cuando por lo menos un tipo de entidad raíz posee el parámetro “@flexSearchFulltext” habilitado). Esto permitiría a un atacante a través de una solicitud especialmente diseñada, realizar ejecución remota de código (RCE). 

Las versiones afectadas son: 

• Node.js cruddl, versiones previas a 2.7.0 (desde la versión 1.1.0). 
• Node.js cruddl, versiones previas a 3.0.2 (desde la versión 1.1.0). 

Recomendamos acceder al repositorio correspondiente propuesto por Github en el siguiente enlace: 

• https://github.com/AEB-labs/cruddl  

Adicionalmente recomendamos eliminar temporalmente de los esquemas el parámetro “@flexSearchFulltext” antes de actualizar cruddl. 

Referencias: 

• https://www.redpacketsecurity.com/node-js-cruddl-module-code-execution-cve-2022-36084/ 
• https://www.npmjs.com/package/cruddl 
• https://github.com/AEB-labs/cruddl/security/advisories/GHSA-qm4w-4995-vg7f 
• https://nvd.nist.gov/vuln/detail/CVE-2022-36084 
• https://github.com/AEB-labs/cruddl