Nginx NJS UAF漏洞CVE-2022-43286
- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:CVE-2022-43286
- 漏洞类型: UAF 漏洞(Use-After-Free)
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2023-03-20
- 更新时间:2023-03-20
漏洞简介
2022年10月31日,深信服安全团队监测到一则 Nginx 组件存在 UAF 漏洞的信息,漏洞编号:CVE-2022-43286,漏洞威胁等级:高危。
该漏洞是由于 Nginx NJS 组件存在堆 UAF 漏洞,攻击者可利用该漏洞构造恶意数据对 njs_json_parse_iterator_call 函数进行非法内存复制,最终造成程序拒绝服务。
漏洞公示
暂无
参考网站
https://nvd.nist.gov/vuln/detail/CVE-2022-43286
受影响实体
目前受影响的 Nginx NJS 版本:
Nginx NJS < 0.7.4
补丁
解决方案
1.官方修复建议
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:
https://github.com/nginx/njs/commit/2ad0ea24a58d570634e09c2e58c3b314505eaa6a
2.深信服解决方案
2.1 主动检测
支持对 Nginx NJS UAF漏洞 CVE-2022-43286的主动检测,可批量快速检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服云镜YJ】预计2022年11月15日发布检测方案。
【深信服漏洞评估工具TSS】预计2022年11月15日发布检测方案。
【深信服安全托管服务MSS】预计2022年11月15日发布检测方案。
