Node.js開発者にとって新たな打撃となる、人気のAxios HTTPライブラリにおける深刻度の高い脆弱性が、サーバーをサービス拒否(DoS)攻撃にさらします。
公開されたのはわずか2日前で、Axiosの1.13.4までのバージョンに影響します。今すぐ1.13.5へパッチを適用してください。
バグは98〜101行目に潜んでおり、コードがマージされた設定からオブジェクトのキーをループ処理する箇所です。
Axiosをクローンするか、npm install [email protected]を実行し、その後poc.mjsでこれを実行してください:
脆弱なバージョンでの結果: 即座にTypeErrorでクラッシュします。{"timeout": 5000}のような通常の設定は問題なく動作します。
攻撃者は、ユーザーのJSONを解析してAxiosに渡すアプリを狙います。たとえばクライアント設定をマージするAPIなどです。ペイロードによってNode.jsのバックエンドは崩壊し、サービスが停止します。
これは汚染ではありませんが、重要な教訓です。ライブラリに渡す前にユーザー入力を検証してください。
翻訳元: https://cyberpress.org/axios-vulnerability-2/
ソース: cyberpress.org