Notificar incidente

Alertas de Segurança

Alerta de Vulnerabilidades - Netmask NPM

tipo Vulnerabilidades
Sistemas afetadosNetmask v1.1.0 e anterior
Ecossistema Outro

Descrição

Foi identificada uma vulnerabilidade no pacote da Netmask que permite aos atacantes executarem um conjunto de ataques remotamente devido à validação inadequada dos octetos IPv4.
Caso o IPv4 seja mal validado, pode permitir que um endereço IP externo seja interpretado como um IP da rede local.[1][2][3]

impacto

A exploração bem sucedida desta vulnerabilidade, permite que um atacante remotamente e não autenticado possa realizar ataques de SSRF (Server-side request forgery), RFI (Remote file inclusion) e LFI (Local File inclusion).

Resolução

Os utilizadores da versões afetadas devem atualizar as aplicações para a sua versão mais recente. [4]

Referências

[1] https://www.securityweek.com/vulnerability-netmask-npm-package-affects-280000-projects
[2] https://portswigger.net/daily-swig/ssrf-vulnerability-in-npm-package-netmask-impacts-up-to-279k-projects
[3] https://github.com/sickcodes/security/blob/master/advisories/SICK-2021-011.md
[4] https://www.npmjs.com/package/netmask