PT-2024-5124 · Node.Js+5 · Node.Js+5
Haxatron1
·
Publicado
2024-04-19
·
Atualizado
2026-05-18
·
CVE-2024-22018
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Versões 20 a 21 do Node.js
Descrição:
Uma falha no modelo experimental de permissões do Node.js permite que agentes mal-intencionados recuperem estatísticas de arquivos aos quais não têm acesso explícito de leitura quando o sinalizador
--allow-fs-read é utilizado. Esse problema decorre de um modelo de permissões inadequado que não restringe as estatísticas de arquivos por meio da API fs.lstat.Recomendações:
Para as versões 20 e 21 do Node.js, considere desativar o modelo de permissão experimental até que um patch esteja disponível.
Restrinja o acesso à API
fs.lstat para minimizar o risco de exploração.Evite usar o sinalizador --allow-fs-read nos pontos de extremidade da API afetados até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Incorrect Privilege Assignment
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Centos
Node.Js
Red Hat
Rocky Linux
Suse