Dittyroma

**Nome do software vulnerável e versões afetadas** Versões do Node.js anteriores à 18.20.4 Versões do Node.js anteriores à 20.15.1 Versões do Node.js anteriores à 22.4.1 **Descrição** Uma falha de segurança no Node.js permite contornar restrições de importação de rede. Ao incorporar importações não relacionadas à rede em URLs de dados, um invasor pode executar código arbitrário, comprometendo a segurança do sistema. A vulnerabilidade é mitigada pela proibição de URLs de dados em importações de rede. A exploração dessa falha pode violar a segurança das importações de rede, representando um risco para desenvolvedores e servidores. **Recomendações** Atualize para a versão 18.20.4 do Node.js ou mais recente. Atualize para a versão 20.15.1 do Node.js ou mais recente. Atualize para a versão 22.4.1 do Node.js ou mais recente. Como solução temporária, considere proibir URLs de dados em importações de rede até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Node.js versions prior to the fixed version **Description** Maliciously crafted export names in an imported WebAssembly module can inject JavaScript code. The injected code may be able to access data and functions that the WebAssembly module itself does not have access to, similar to as if the WebAssembly module was a JavaScript module. This issue affects users of any active release line of Node.js, but the vulnerable feature is only available if Node.js is started with the `--experimental-wasm-modules` command line option. **Recommendations** As a temporary workaround, consider disabling the `--experimental-wasm-modules` command line option until a patch is available. Restrict access to the WebAssembly module to minimize the risk of exploitation. Avoid using the vulnerable feature until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.