CVE-2023-46809

Versões do Node.js que incluem uma versão não corrigida do OpenSSL ou que são executadas com uma versão dinamicamente vinculada do OpenSSL que não foi corrigida

O problema está relacionado ao uso de canais laterais ocultos na função PrivateDecrypt() da biblioteca criptográfica do Node.js, devido a uma discrepância de tempo na descriptografia de textos criptografados válidos e inválidos com base no padrão de criptografia PKCS#1 v1.5. Isso permite que um invasor remoto execute um ataque Bleichenbacher ou Marvin. A vulnerabilidade é explorada quando o preenchimento PKCS #1 v1.5 é permitido durante a descriptografia RSA usando uma chave privada.

Como solução temporária, considere desativar o uso do preenchimento PKCS #1 v1.5 ao realizar a descriptografia RSA usando uma chave privada até que um patch esteja disponível. Restrinja o acesso à função PrivateDecrypt() para minimizar o risco de exploração. Evite usar a função PrivateDecrypt() com versões não corrigidas do OpenSSL até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.