[TLP:CLEAR] Node.js opravuje vysoce závažnou zranitelnost
Node.js verzemi 18.20.2, 20.12.2 a 21.7.3 opravuje vysoce závažnou zranitelnost [1][2][3].
Kvůli nesprávnému zpracování .bat souborů ve funkcích child_process.spawn nebo child_process.spawnSync je útočníkovi umožněno, pomocí škodlivých argumentů příkazové řádky, injektovat libovolné příkazy a vykonat vzdálené spuštění kódu, a to i bez povolení možnosti shell [4].
Zranitelnost se nachází v produktu Node.js ve verzích (>=18.0.0 AND <18.20.2) OR (>=20.0.0 AND <20.12.2) OR (>=21.0.0 AND <21.7.3).
Více informací:
- CVE-2024-27980 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 4. 2024.
Odkazy
- [1] https://github.com/nodejs/node/blob/main/doc/changelogs/CHANGELOG_V18.md#18.20.2
- [2] https://github.com/nodejs/node/blob/main/doc/changelogs/CHANGELOG_V20.md#20.12.2
- [3] https://github.com/nodejs/node/blob/main/doc/changelogs/CHANGELOG_V21.md#21.7.3
- [4] https://nodejs.org/en/blog/vulnerability/april-2024-security-releases-2
Publikovala Michaela Mačalíková dne 11. 4. 2024.
