漏洞详情:
各种 node:fs 函数允许将路径指定为字符串或 Uint8Array 对象。
在 Node.js 环境中,Buffer 类扩展了 Uint8Array 类。
Node.js 可防止通过字符串(请参阅 CVE-2023-30584)和 Buffer 对象(请参阅CVE-2023-32004)进行路径遍历,但不能通过非Buffer Uint8Array 对象进行路径遍历。
影响产品:
Node.js
影响版本:
Node.js 20.*
补丁名称:Node.js 多个漏洞—目前厂商已经发布了新版本以修复此安全问题,升级至不受影响的版本。
公告链接:
https://nodejs.org/en/blog/vulnerability/october-2023-security-releases
补丁链接:
https://nodejs.org/en/blog/release/v20.8.1
其他修复方法:
Node.js 项目将发布 18.x 和 20.x 新版本,建议随时关注厂商主页。
原文始发于微信公众号(飓风网络安全):【漏洞预警】Node.js 路径遍历漏洞(CVE-2023-39332)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论