Tianst

#13295de 53,633
20CVSS total
Vulnerabilidades · 2
Alta
2
PT-2024-4625
10
2024-07-08
Node.Js · Node.Js · CVE-2024-36138
Nome do software vulnerável e versões afetadas: Versões do Node.js até 18.20.3 Versões do Node.js até 20.15.0 Versões do Node.js até 22.4.0 Descrição: O problema decorre do tratamento inadequado de arquivos em lote com todas as extensões possíveis no Windows por meio de `child process.spawn` / `child process.spawnSync`. Um argumento de linha de comando malicioso pode injetar comandos arbitrários e conseguir a execução de código, mesmo que a opção de shell não esteja habilitada. Isso permite que um invasor remoto execute comandos arbitrários. Recomendações: Para versões do Node.js até 18.20.3, atualize para uma versão superior a 18.20.3 para resolver o problema. Para versões do Node.js até 20.15.0, atualize para uma versão superior a 20.15.0 para resolver o problema. Para versões do Node.js até 22.4.0, atualize para uma versão superior a 22.4.0 para resolver o problema. Como solução alternativa temporária, considere desativar o uso das funções `child process.spawn` e `child process.spawnSync` até que um patch esteja disponível.
PT-2024-5241
10
2024-02-29
Node.Js · Node.Js · CVE-2024-27980
Nome do software vulnerável e versões afetadas: Versões 18.x, 20.x e 21.x do Node.js Descrição: O problema está relacionado ao tratamento inadequado de arquivos em lote nos métodos `child process.spawn` e `child process.spawnSync` em plataformas Windows. Isso permite que um argumento de linha de comando malicioso injete comandos arbitrários e execute código, mesmo que a opção de shell não esteja habilitada. O número estimado de dispositivos potencialmente afetados não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Recomendações: Para as versões 18.x, 20.x e 21.x do Node.js, atualize para uma versão que inclua a correção para essa vulnerabilidade. Como solução alternativa temporária, considere desativar a função `child process.spawn` até que um patch esteja disponível. Restrinja o acesso à função `child process.spawnSync` para minimizar o risco de exploração. Evite usar o parâmetro `args` na função `child process.spawn` afetada até que o problema seja resolvido.