Valette

Nome do software vulnerável e versões afetadas: Versões 18.18.0 e posteriores do Node.js Versões 20.4.0 e posteriores do Node.js Versões 21 e posteriores do Node.js Descrição: O problema está relacionado ao fato de a função setuid() não afetar as operações internas io uring da libuv se estas forem inicializadas antes da chamada à setuid(). Isso permite que o processo execute operações privilegiadas, apesar de, presumivelmente, ter perdido tais privilégios por meio de uma chamada à setuid(). A vulnerabilidade pode ser explorada para elevar privilégios. Recomendações: Para as versões 18.18.0 e posteriores do Node.js: atualize para uma versão que inclua uma correção para este problema. Para as versões 20.4.0 e posteriores do Node.js: atualize para uma versão que inclua uma correção para este problema. Para versões do Node.js 21 e posteriores: atualize para uma versão que inclua uma correção para este problema. Como solução temporária, considere desativar o uso de setuid() e das operações internas io uring da libuv até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.