Los desarrolladores de NodeJS compartieron el pasado 11 de Agosto un boletín de seguridad y la versión v16.6.2 en el cual se presentan tres vulnerabilidades, dos de ellas críticas.
La primera vulnerabilidad CVE-2021-3672 y CVE-2021-2293 consiste en un manejo inadecuado de caracteres atípicos en el DNS, fallo el cual provocaba ejecución remota de código, XSS o caídas en el aplicativo, debido a la validación impropia de los hostname devueltos por los Servidores de Nombres de Dominio en la librería DNS de Node.js.
Dicho error puede provocar la salida de nombres de dominio erróneos (pudiendo acabar en domain hijacking) y vulnerabilidades de inyección.
Por otro lado, la vulnerabilidad clasificada como CVE-2021-22930 hace uso del bug use-after-free, siendo la confidencialidad e integridad comprometidas. La nueva versión incluye un seguimiento a dicha vulnerabilidad, ya que no fue completamente corregida en el parche anterior.
Por último, en la vulnerabilidad clasificada como CVE-2021-22939 se explota una validación incorrecta del parámetro rejectUnauthorized. En ella, un atacante podría hacer uso de la API HTTPS para asignar «undefined» a la variable ya mencionada, con el objetivo de aceptar conexiones con un certificado caducado sin obtener ningún error, ha sido clasificada como leve.