Execució d’ordres a Node.js

ALERTES

10/07/2024

CVE-2024-36138

ALT (7,3)

CVSS3: 6,4

Node.js podria permetre que un atacant remot executés ordres arbitràries al sistema, causat per la correcció incompleta de CVE-2024-27980, que era la gestió inadequada dels fitxers per lots a child_process.spawn / child_process.spawnSync. En enviar un argument de línia d’ordres especialment dissenyat, un atacant podria explotar aquesta vulnerabilitat per injectar i executar ordres arbitràries al sistema.

Sistemes Afectats

  • Node.js Node.js 18.0
  • Node.js Node.js 20.0
  • Node.js Node.js 22.0

Remediació
Consulteu el blog de Node.js, 2024-07-08 per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.