СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
29.02.2024

Уязвимость BDU:2024-05853

Уязвимость BDU:2024-05853

Идентификатор: BDU:2024-05853.

Наименование уязвимости: Уязвимость функций child_process.spawn() и child_process.spawnSync() программной платформы Node.js операционных систем Windows, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольные команды.

Описание уязвимости: Уязвимость функций child_process.spawn() и child_process.spawnSync() программной платформы Node.js операционных систем Windows связана с некорректной обработкой параметра shell в файлах .bat и .cmd. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности и выполнить произвольные команды
Уязвимое ПО: Сетевое программное средство Node.js Foundation Node.js от 18.0 до 18.20.2 | Сетевое программное средство Node.js Foundation Node.js от 20.0 до 20.12.2 | Сетевое программное средство Node.js Foundation Node.js от 21.0 до 21.7.3 |

Наименование ОС и тип аппаратной платформы: Windows — |
Дата выявления: 29.02.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
https://nodejs.org/en/blog/vulnerability/april-2024-security-releases-2
https://github.com/nodejs/node/releases/tag/v18.20.2
https://github.com/nodejs/node/releases/tag/v20.12.2
https://github.com/nodejs/node/releases/tag/v21.7.3
https://nodejs.org/en/download/package-manager.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-27980.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nodejs.org/en/blog/vulnerability/april-2024-security-releases-2
https://vuldb.com/ru/?id.260344
https://hackerone.com/reports/2461831
https://thecyberthrone.in/2024/07/09/node-js-fixes-multiple-vulnerabilities-cve-2024-27980/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: