Node.js 项目发布了安全更新以解决多个漏洞,包括一个可能允许攻击者绕过安全措施并执行任意代码的高严重性漏洞。
最严重的漏洞CVE-2024-36138是针对之前问题CVE-2024-27980的未完成修复的绕过,该问题被称为 BatBadBut 漏洞。此漏洞可能允许攻击者在 Windows 系统上注入和执行任意命令,即使 shell 选项被禁用也是如此。此漏洞影响所有活动的 Node.js 版本行(v18.x、v20.x 和 v22.x),并对 Windows 用户构成重大风险。
除了高严重性漏洞CVE-2024-36138 之外,此更新还解决了几个中、低严重性漏洞,包括:
- CVE-2024-22020(中):允许攻击者通过在数据 URL 中嵌入非网络导入来绕过网络导入限制,可能导致任意代码执行。
- CVE-2024-36137(低):允许攻击者绕过 Node.js 20 和 22 中的实验性权限模型,使用“只读”文件描述符来更改文件所有权和权限。
- CVE-2024-22018(低):另一种绕过实验权限模型的方法,允许在没有明确读取权限的情况下访问文件统计信息。
- CVE-2024-37372(低):影响权限模型对 Windows 上的 UNC 路径的处理,从而导致潜在的漏洞。
这些漏洞影响所有指定 Node.js 版本的用户,特别是使用 Windows 系统和实验性权限模型的用户。
Node.js 项目强烈建议所有用户立即升级到最新版本:
- Node.js v18.20.4
- Node.js v20.15.1
- Node.js v22.4.1
这些更新包含针对所有已发现漏洞的补丁。
Node.js 是一种广泛使用的 JavaScript 运行时环境,为众多 Web 应用程序和服务提供支持。攻击者可以利用这些漏洞破坏这些应用程序的安全性和完整性,从而可能导致数据泄露、服务中断和其他严重后果。用户必须立即采取行动来保护其系统和数据。
原文始发于微信公众号(独眼情报):CVE-2024-36138:Node.js 中的高严重性漏洞允许在 Windows 上执行代码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论