偵測

Node.js 18.x < 18.20.4 / 20.x < 20.15.1 / 22.x < 22.4.1 多個弱點 (2024 年 7 月 8 日週一安全性版本)。

critical Nessus Plugin ID 201969

語系:

概要

Node.js - JavaScript 執行階段環境受到多個弱點影響。

說明

遠端主機上安裝的 Node.js 版本早於 18.20.4、20.15.1 或 22.4.1。因此,會受到 2021 年 7 月 8 日週一安全性版本公告中所提及的多個弱點影響。

 - CVE-2024-27980 被識別為 BatBad But 弱點的不完整修正。此弱點是因為透過 child_process.spawn / child_process.spawnSync 在 Windows 上不當處理具有所有可能副檔名的批次檔案所導致。如果未啟用 shell 選項,惡意命令行引數仍可插入任意命令並執行程式碼。此弱點會影響 Windows 上所有使用中版本行的 child_process.spawn 和 child_process.spawnSync 使用者。
 影響:感謝 tianst 報告此弱點,同時感謝 RafaelGSS 修正此弱點。
(CVE-2024-27980)

 - Node.js 中的安全性瑕疵允許繞過網路匯入限制。藉由在資料 URL 中內嵌非網路匯入,攻擊者可執行任意程式碼,進而危害系統安全性。此弱點已在多種平台上驗證,透過在網路匯入中禁止資料 URL 可減輕弱點的影響。惡意利用此瑕疵可違反網路匯入安全性,對開發人員和伺服器造成風險。影響:感謝 dittyroma 報告此弱點,同時感謝 RafaelGSS 修正此弱點。(CVE-2024-22020)

 - 在 Node.js 中發現一個弱點,當 --allow-fs-write 旗標使用時,此弱點會影響實驗權限模型的使用者。Node.js 權限模型無法在檔案描述符號上運作,不過,fs.fchown 或 fs.fchmod 等作業可使用唯讀檔案描述符號來變更檔案的擁有者和權限。此弱點會影響使用 Node.js 20 和 Node.js 22 版中實驗性權限模型的所有使用者。請注意,在此 CVE 發布時,此權限模型為 Node.js 的實驗性功能。影響:感謝 4xpl0r3r 報告此弱點,同時感謝 RafaelGSS 修正此弱點。(CVE-2024-36137)

 - 在 Node.js 中發現一個弱點,當 --allow-fs-read 旗標使用時,此弱點會影響實驗權限模型的使用者。產生此弱點的原因是,權限模型不足,無法透過 fs.lstat API 限制檔案統計資料。因此,惡意執行者可以從他們沒有明確讀取權限的檔案中擷取統計資料。此弱點會影響使用 Node.js 20 和 Node.js 22 版中實驗性權限模型的所有使用者。請注意,在此 CVE 發布時,此權限模型為 Node.js 的實驗性功能。影響:感謝 haxatron1 報告此弱點,同時感謝 RafaelGSS 修正此弱點。(CVE-2024-22018)

 - 權限模型假設任何以兩個反斜線 \ 開頭的路徑都有一個可以忽略的四字元前置詞,但情況並非總是如此。這個細微的錯誤會導致容易遭受攻擊的邊緣案例。此弱點會影響 v22.x 和 v20.x 版中 Node.js 權限模型的 Windows 使用者 影響:
 感謝 tniessen 報告此弱點,同時感謝 RafaelGSS 修正此弱點。
(CVE-2024-37372)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Node.js 18.20.4/20.15.1/22.4.1 版本或更新版本。

另請參閱

https://nodejs.org/en/blog/vulnerability/july-2024-security-releases/

Plugin 詳細資訊

嚴重性: Critical

ID: 201969

檔案名稱: nodejs_2024_jul_08.nasl

版本: 1.3

類型: local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2024/7/8

已更新: 2024/7/12

組態: 啟用徹底檢查

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.3

CVSS v2

風險因素: High

基本分數: 9

時間分數: 6.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:C

CVSS 評分資料來源: CVE-2024-22020

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2024-27980

弱點資訊

CPE: cpe:/a:nodejs:node.js

必要的 KB 項目: installed_sw/Node.js

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/7/8

弱點發布日期: 2024/4/10

參考資訊

CVE: CVE-2024-22018, CVE-2024-22020, CVE-2024-27980, CVE-2024-36137, CVE-2024-37372

IAVB: 2024-B-0039-S, 2024-B-0083