PT-2024-1512 · Node.Js · Node.Js
Nodemedic
·
Publicado
2024-01-23
·
Atualizado
2024-02-08
·
CVE-2024-21488
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
versões do network anteriores à 0.7.0
Descrição
A vulnerabilidade existe devido à validação insuficiente de entradas na função
exec do child process do utilitário Node.js Network. Isso permite que um invasor remoto execute comandos arbitrários no sistema operacional, fornecendo entradas controladas pelo invasor à função mac address for do pacote. A função child process exec é utilizada sem sanitização de entrada, permitindo a execução de comandos arbitrários. A função mac address for é especificamente vulnerável a este problema.Recomendações
Para versões anteriores à 0.7.0, atualize para a versão 0.7.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função
mac address for até que um patch esteja disponível. Restrinja o acesso à função exec do child process para minimizar o risco de exploração. Evite usar a função mac address for com entradas não confiáveis até que o problema seja resolvido.Exploit
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Node.Js