PT-2024-4625 · Node.Js+1 · Node.Js+1

Tianst

·

Publicado

2024-07-08

·

Atualizado

2026-05-18

·

CVE-2024-36138

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas:
Versões do Node.js até 18.20.3
Versões do Node.js até 20.15.0
Versões do Node.js até 22.4.0
Descrição:
O problema decorre do tratamento inadequado de arquivos em lote com todas as extensões possíveis no Windows por meio de child process.spawn / child process.spawnSync. Um argumento de linha de comando malicioso pode injetar comandos arbitrários e conseguir a execução de código, mesmo que a opção de shell não esteja habilitada. Isso permite que um invasor remoto execute comandos arbitrários.
Recomendações:
Para versões do Node.js até 18.20.3, atualize para uma versão superior a 18.20.3 para resolver o problema.
Para versões do Node.js até 20.15.0, atualize para uma versão superior a 20.15.0 para resolver o problema.
Para versões do Node.js até 22.4.0, atualize para uma versão superior a 22.4.0 para resolver o problema.
Como solução alternativa temporária, considere desativar o uso das funções child process.spawn e child process.spawnSync até que um patch esteja disponível.

Correção

RCE

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-77

Identificadores relacionados

BDU:2024-05133
BIT-NODE-2024-36138
BIT-NODE-MIN-2024-36138
CLEANSTART-2026-BD71263
CLEANSTART-2026-IS74202
CLEANSTART-2026-JR35772
CLEANSTART-2026-JY06700
CLEANSTART-2026-KN34553
CLEANSTART-2026-KZ45320
CLEANSTART-2026-LJ44720
CLEANSTART-2026-LN12820
CLEANSTART-2026-TX00223
CLEANSTART-2026-WI75198
CVE-2024-36138
MGASA-2024-0282
OPENSUSE-SU-2024:14435-1
OPENSUSE-SU-2024_2542-1
OPENSUSE-SU-2025:15802-1
SUSE-SU-2024:2496-1
SUSE-SU-2024:2542-1
SUSE-SU-2024:2543-1
SUSE-SU-2024:2574-1

Produtos afetados

Node.Js
Suse