CVE-2023-46809

 MITJÀ: (5,3)

CVSS3: 4,6

Node.js podria permetre a un atacant remot obtenir informació delicada, causada per una vulnerabilitat a l’API privateDecrypt() de la biblioteca criptogràfica. Un atacant podria aprofitar aquesta vulnerabilitat per dur a terme un canal lateral de temporització encobert durant la gestió d’errors de farciment PKCS#1 v1.5 i obtenir diferències de temps importants en el desxifrat per a textos xifrats vàlids i no vàlids.

Sistemes Afectats

• Node.js Node.js 18.0
• Node.js Node.js 20.0
• Node.js Node.js 21.0

Remediació
Consulteu el bloc de Node.js, 2024-02-14 per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.

Referències

• Wednesday February 14 2024 Security Releases