CVE-2024-43373

Versões do webcrack anteriores à 2.14.1

Existe uma vulnerabilidade de gravação arbitrária de arquivos no módulo webcrack ao processar código malicioso especialmente criado em sistemas Windows. Essa vulnerabilidade é acionada ao usar o recurso de descompactação de pacotes em conjunto com o recurso de salvamento. Se o nome de um módulo incluir uma sequência de traversal de caminho com separadores de caminho do Windows, um invasor pode explorar isso para sobrescrever arquivos no sistema host. Essa vulnerabilidade permite que um invasor grave arquivos .js arbitrários no sistema host, o que pode ser aproveitado para sequestrar módulos Node.js legítimos e obter execução de código arbitrário.

Para versões anteriores à 2.14.1, atualize para a versão 2.14.1 para resolver o problema. Como solução alternativa temporária, considere desativar o recurso de descompactação de pacotes e o recurso de salvamento até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar nomes de módulos que incluam sequências de traversal de caminho com separadores de caminho do Windows no endpoint da API afetado até que o problema seja resolvido.