PT-2024-20594 · Node.Js+1 · Node.Js+1
Tomibelan
·
Publicado
2024-02-09
·
Atualizado
2024-02-16
·
CVE-2024-24828
CVSS v3.1
6.6
Média
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
pkg (versões afetadas não especificadas)
Descrição
O problema decorre do fato de a ferramenta pkg gravar pacotes de código nativo em um diretório predefinido, especificamente
/tmp/pkg/* em sistemas Unix, que é um diretório compartilhado por todos os usuários no mesmo sistema local. Os nomes dos pacotes dentro desse diretório são previsíveis e carecem de exclusividade, permitindo que um invasor com acesso ao mesmo sistema local substitua executáveis genuínos por executáveis maliciosos com o mesmo nome. Um usuário pode então, sem saber, executar o executável malicioso. O pacote pkg está obsoleto e, como resultado, nenhum patch será fornecido para este problema. Recomenda-se que os usuários migrem para alternativas mantidas ativamente, como investigar o suporte do Node.js 21 para aplicativos de executável único.Recomendações
Para verificar se o seu executável compilado pelo pkg depende de código nativo e está vulnerável, execute o executável e verifique se
/tmp/pkg/ foi criado.Os usuários devem migrar para alternativas mantidas ativamente.
Investigue o suporte do Node.js 21 para aplicativos executáveis únicos.
Priorize a migração para outros pacotes que ofereçam funcionalidade semelhante com segurança aprimorada.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Node.Js
Pkg