PT-2021-2037 · Node.Js+8 · Node.Js+8
Publicado
2020-01-24
·
Atualizado
2026-05-18
·
CVE-2020-8265
CVSS v2.0
9.4
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Node.js anteriores à 10.23.1
Versões do Node.js anteriores à 12.20.1
Versões do Node.js anteriores à 14.15.4
Versões do Node.js anteriores à 15.5.1
Descrição:
O problema está relacionado a um bug de uso após liberação (use-after-free) na implementação TLS do Node.js. Ao gravar em um soquete habilitado para TLS,
node::StreamBase::Write chama node::TLSWrap::DoWrite com um objeto WriteWrap recém-alocado como primeiro argumento. Se o método DoWrite não retornar um erro, esse objeto é repassado ao chamador como parte de uma estrutura StreamWriteResult. Isso pode ser explorado para corromper a memória, levando a uma negação de serviço ou, potencialmente, a outras explorações.Recomendações:
Para versões do Node.js anteriores à 10.23.1, atualize para a versão 10.23.1 ou posterior.
Para versões do Node.js anteriores à 12.20.1, atualize para a versão 12.20.1 ou posterior.
Para versões do Node.js anteriores à 14.15.4, atualize para a versão 14.15.4 ou posterior.
Para versões do Node.js anteriores à 15.5.1, atualize para a versão 15.5.1 ou posterior.
Exploit
Correção
DoS
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Linuxmint
Node.Js
Red Hat
Rocky Linux
Suse
Ubuntu