Nginx NJS存在多个漏洞CVE-2022-43285,CVE-2022-43286

近日,我司监测到Nginx发布安全公告,修复了2个存在于NJS中的安全漏洞。

Nginx 是异步框架的网页服务器,也可以用作反向代理、负载平衡器和HTTP缓存。njs 是用来扩展 nginx 功能的JavaScript语言的子集。

 

漏洞详情如下:

 

1.CVE-2022-43285 Nginx NJS 存在段违规漏洞

风险等级:中危

漏洞类型:拒绝服务

漏洞简介:在njs_promise.c类中的“njs_promise_reaction_job”函数存在分段违规漏洞,攻击者可利用此漏洞造成拒绝服务。

2.CVE-2022-43286 Nginx NJS 存在UAF漏洞

风险等级:高危

漏洞类型:UAF

漏洞简介:在njs_json.c类中的“njs_json_parse_iterator_call”方法能够非法内存复制从而导致基于堆的释放后使用漏洞存在,攻击者可利用此漏洞造成拒绝服务或远程代码执行。

 

影响版本:

CVE-2022-43285:

  • Nginx NJS < 0.7.8

CVE-2022-43286:

  • Nginx NJS < 0.7.4

 

安全版本:

CVE-2022-43285:

  • Nginx NJS >= 0.7.8

CVE-2022-43286:

  • Nginx NJS >= 0.7.4

 

修复建议:

官方已经针对漏洞发布了版本更新,下载地址如下:

https://github.com/nginx/njs/tags

 

 

发表评论

评论已关闭。

相关文章