Node.js 16.x < 16.20.2 / 18.x < 18.17.1 / 20.x < 20.5.1 多個弱點 (2023 年 8 月 9 日星期三安全性版本)。
critical Nessus Plugin ID 179692
語系:
概要
Node.js - JavaScript 執行階段環境受到多個弱點影響。說明
遠端主機上安裝的 Node.js 版本早於 16.20.2、18.17.1 或 20.5.1。因此,它受到 2023 年 8 月 9 日星期三安全性版本公告中提及的多個弱點影響:- 可透過 Module._load 繞過權限原則 (CVE-2023-32002)
- 透過在緩衝區中指定路徑遊走序列來繞過權限模型 (CVE-2023-32004)
- process.binding() 可透過路徑遊走繞過權限模型 (CVE-2023-32558)
- 權限原則可在使用 module.constructor.createRequire() 時模擬其他模組 (CVE-2023-32006)
- 可透過 process.binding 繞過權限原則 (CVE-2023-32559)
- fs.statfs 可從受權限模型限制的檔案擷取統計資料 (CVE-2023-32005)
- fs.mkdtemp() 和 fs.mkdtempSync() 缺少 getValidatedPath() 檢查 (CVE-2023-32003)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Node.js 16.20.22 / 18.17.1 / 20.5.1 版本或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 179692
檔案名稱: nodejs_2023_aug.nasl
版本: 1.10
類型: local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2023/8/11
已更新: 2024/1/9
組態: 啟用徹底檢查
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2023-32002
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 8.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/a:nodejs:node.js
必要的 KB 項目: installed_sw/Node.js
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2023/8/9
弱點發布日期: 2023/8/9
參考資訊
CVE: CVE-2023-32002, CVE-2023-32003, CVE-2023-32004, CVE-2023-32005, CVE-2023-32006, CVE-2023-32558, CVE-2023-32559
IAVB: 2023-B-0059-S