CVE: CVE-2023-32002 Node.js

Loony

Loony

Member
Пользователь
Регистрация
4 Фев 2025
Сообщения
18
Реакции
2

CVE: CVE-2023-32002​

Этот месяц принес нам критическую уязвимость Node.js, ставящую под удар множество программ на этом языке, а также большой урожай багов в продуктах Microsoft, получивших патчи во «вторник обновлений».

Node.js​

  • CVE: CVE-2023-32002
  • Уровень опасности: 9,8, критический
  • Тип уязвимости: удаленное выполнение кода (RCE)
  • Уязвимые продукты: Node.js 16.0.0–16.20.1, 18.0.0–18.17.0 и 20.0.0–20.5.0
CVE-2023-32002 — это уязвимость удаленного выполнения кода (RCE), которая кроется в святая святых Node.js — функции Module._load(). Этот метод отвечает за загрузку модулей, а значит, прямо влияет на работу тысяч приложений на JavaScript. Дыру обнаружили и раскрыли через платформу HackerOne. Потенциально этот баг может превратиться в серьезную головную боль для всех, кто работает с Node.js.

В политике безопасности Module._load() обнаружились косяки, из‑за которых коварные злоумышленники (и не менее коварные исследователи) получили шанс вмешаться в процесс и подсовывать свои вредоносные модули. Из‑за бага можно обойти ограничения policy.json и загружать любые модули, даже если они запрещены. А это потенциально — утечка данных, подмена информации или даже отказ в обслуживании.

Важно помнить, что Node.js — это не просто серверный движок, а фундамент для современных веб‑приложений, серверов и даже десктопных приложений на Electron. Все эти категории продуктов потенциально могут пострадать от уязвимости.

Для защиты обнови Node.js до актуальной версии: 16.20.1+, 18.17.0+ или 20.5.0+.
 
Войдите или зарегистрируйтесь для ответа.
Сверху