PT-2024-3905 · Node.Js+6 · Node.Js+6

Xion

·

Publicado

2024-02-16

·

Atualizado

2025-03-28

·

CVE-2024-21891

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas:
Versões 20 a 21 do Node.js
Descrição:
O problema está relacionado ao modelo de permissão experimental no Node.js, no qual implementações definidas pelo usuário podem sobrescrever funções utilitárias integradas usadas para normalizar caminhos fornecidos às funções node:fs. Isso pode levar a uma violação do modelo de permissão do sistema de arquivos por meio de um ataque de traversal de caminho. A vulnerabilidade afeta usuários do modelo de permissão experimental nas versões especificadas do Node.js.
Recomendações:
Para as versões 20 a 21 do Node.js, considere desativar o modelo de permissão experimental até que um patch esteja disponível.
Restrinja o acesso às funções node:fs para minimizar o risco de exploração.
Evite usar implementações definidas pelo usuário para normalização de caminhos até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

ALSA-2024:1687
ALSA-2024:1688
ALT-PU-2024-3054
AZL-35046
BDU:2024-04314
BIT-NODE-2024-21891
BIT-NODE-MIN-2024-21891
CESA-2024_1687
CVE-2024-21891
OPENSUSE-SU-2024:13697-1
OPENSUSE-SU-2024:13698-1
RHSA-2024:1687
RHSA-2024:1688
RHSA-2024_1687
RHSA-2024_1688
RLSA-2024:1687
RLSA-2024:1688
SUSE-SU-2024:0643-1

Produtos afetados

Alt Linux
Almalinux
Centos
Node.Js
Red Hat
Rocky Linux
Suse