Nginx NJS 堆UAF漏洞(CVE-2022-43286)

威胁对抗指挥中心 https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2022_60192&lang=ZH-CN

高危

Nginx NJS 堆UAF漏洞(CVE-2022-43286)

 

攻击类型 : 拒绝服务

披露时间 : 2022-10-31

更新时间 : 2022-10-31

 

CVE ID : CVE-2022-43286

CNVD ID :

CNNVD ID :

Bugtraq ID :

基本信息

漏洞披露

漏洞分析

漏洞验证 (PoC)

漏洞利用 (EXP)

漏洞介绍

2022年10月31日，深信服安全团队监测到一则Nginx组件存在 UAF漏洞的信息，漏洞编号：CVE-2022-43286，漏洞威胁等级：高危。该漏洞是由于Nginx NJS组件存在堆UAF漏洞，攻击者可利用该漏洞构造恶意数据对njs_json_parse_iterator_call函数进行非法内存复制，最终造成拒绝服务。

影响版本

Nginx NJS < 0.7.4

解决方案

1. 当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下： https://github.com/nginx/njs/commit/2ad0ea24a58d570634e09c2e58c3b314505eaa6a

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2022-43286

【漏洞通告】Nginx NJS UAF漏洞CVE-2022-43286 https://mp.weixin.qq.com/s/ybfYgFHvwoakYzqPQeQbQA

漏洞名称：

Nginx NJS UAF漏洞（CVE-2022-43286）

组件名称：

Nginx NJS

影响范围：

Nginx NJS < 0.7.4

漏洞类型：

UAF 漏洞（Use-After-Free）

利用条件：

1、用户认证：未知

2、前置条件：默认配置

3、触发方式：未知

综合评价：

<综合评定利用难度>：未知。

<综合评定威胁等级>：高危，能造成拒绝服务。

 

 

 

 

 

 

搜索

复制