NodeBB 远程代码执行漏洞CVE-2023-26045

2024年10月11日10:45:54评论25 views字数 458阅读1分31秒阅读模式

NodeBB 是基于 Node.js 的开源论坛系统。受影响版本中由于使用对象解构赋值语法解析用户导出路径，并且未对导出路径进行过滤，攻击者可构造恶意负载调用用户导出逻辑，在目标服务器中执行任意javascript文件。

影响范围：
nodebb[2.5.0, 2.8.7)

修复方案：
升级nodebb到 2.8.7 或更高版本
官方已发布补丁：https://github.com/NodeBB/NodeBB/commit/ec58700f6dff8e5b4af1544f6205ec362b593092

参考链接：
https://github.com/NodeBB/NodeBB/security/advisories/GHSA-vh2g-6c4x-5hmp

https://github.com/NodeBB/NodeBB/commit/ec58700f6dff8e5b4af1544f6205ec362b593092

原文始发于微信公众号（飓风网络安全）：【漏洞预警】NodeBB 远程代码执行漏洞CVE-2023-26045

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2024年10月11日10:45:54
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
NodeBB 远程代码执行漏洞CVE-2023-26045https://cn-sec.com/archives/1917106.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

Oracle 2025年4月补丁日多个安全漏洞