PT-2024-5137 · Node.Js+1 · Node.Js+1

Tniessen

·

Publicado

2024-04-19

·

Atualizado

2026-05-18

·

CVE-2024-37372

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas:
Node.js (versões afetadas não especificadas)
Descrição:
O problema está relacionado ao modelo de permissão do Node.js, que assume incorretamente que qualquer caminho que comece com duas barras invertidas possui um prefixo de quatro caracteres que pode ser ignorado. Esse bug sutil leva a casos extremos de vulnerabilidade. A vulnerabilidade está associada a erros no processamento de dados de entrada e pode ser explorada por um invasor remoto para comprometer a integridade dos dados.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

RCE

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-264CWE-22

Identificadores relacionados

BDU:2024-05684
BDU:2024-05685
BIT-NODE-2024-37372
BIT-NODE-MIN-2024-37372
CLEANSTART-2026-BD71263
CLEANSTART-2026-IS74202
CLEANSTART-2026-JR35772
CLEANSTART-2026-JY06700
CLEANSTART-2026-KN34553
CLEANSTART-2026-KZ45320
CLEANSTART-2026-LJ44720
CLEANSTART-2026-LN12820
CLEANSTART-2026-TX00223
CLEANSTART-2026-WI75198
CVE-2024-37372
MGASA-2024-0282
OPENSUSE-SU-2024:14214-1
OPENSUSE-SU-2024:14435-1
OPENSUSE-SU-2025:15802-1
SUSE-SU-2024:2543-1
SUSE-SU-2024:2574-1

Produtos afetados

Node.Js
Suse