【漏洞预警】Node.js权限绕过漏洞

【漏洞预警】Node.js权限绕过漏洞
2023-3-1 14:54:33 Author: www.secpulse.com(查看原文) 阅读量:30 收藏

1. 通告信息

近日，安识科技A-Team团队监测到Node.js官方发布更新公告，修复了一个权限绕过漏洞，漏洞编号：CVE-2023-23918，漏洞等级：高危。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

漏洞名称：Node.js权限绕过漏洞

CVE编号：CVE-2023-23918

简述：Node.js 19.x、18.x、16.x 和 14.x 多个版本中由于权限控制不当，可以通过使用 process.mainModule.require()绕过Node.js权限策略并访问未授权的模块。该漏洞仅影响使用--experimental-policy 启用实验权限选项的用户。

3. 漏洞危害

Node.js是一个开源、跨平台的 JavaScript 运行时环境。

该漏洞可能会泄露用户信息，系统信息等，攻击者可通过该漏洞进行更深入的攻击。

4. 影响版本

Node.js版本< 19.6.1

Node.js版本< 18.14.1

Node.js版本< 16.19.1

Node.js版本< 14.21.3

5. 解决方案

目前该漏洞已经修复，受影响用户可升级到以下版本：

Node.js版本>= 19.6.1

Node.js版本>= 18.14.1

Node.js版本>= 16.19.1

Node.js版本>= 14.21.3

下载链接：

https://nodejs.org/en/download/

6. 时间轴

【-】2023年02月27日安识科技A-Team团队监测到漏洞公布信息

【-】2023年02月28日安识科技A-Team团队根据漏洞信息分析

【-】2023年03月01日安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/196830.html

文章来源: https://www.secpulse.com/archives/196830.html
如有侵权请联系:admin#unsafe.sh