CVE-2024-36138

ALT (7,3)

CVSS3: 6,4

Node.js podria permetre que un atacant remot executés ordres arbitràries al sistema, causat per la correcció incompleta de CVE-2024-27980, que era la gestió inadequada dels fitxers per lots a child_process.spawn / child_process.spawnSync. En enviar un argument de línia d’ordres especialment dissenyat, un atacant podria explotar aquesta vulnerabilitat per injectar i executar ordres arbitràries al sistema.

Sistemes Afectats

• Node.js Node.js 18.0
• Node.js Node.js 20.0
• Node.js Node.js 22.0

Remediació
Consulteu el blog de Node.js, 2024-07-08 per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.

Referències

• Monday, July 8, 2024 Security Releases