PT-2024-5138 · Node.Js+5 · Node.Js+5

4Xpl0R3R

·

Publicado

2024-04-19

·

Atualizado

2026-03-31

·

CVE-2024-36137

CVSS v3.1

3.3

Baixa

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas:
Node.js (versões afetadas não especificadas)
Descrição:
Foi identificada uma vulnerabilidade no Node.js, que afeta os usuários do modelo de permissão experimental quando o sinalizador --allow-fs-write é utilizado. O modelo de permissão do Node.js não opera em descritores de arquivo; no entanto, operações como fs.fchown ou fs.fchmod podem usar um descritor de arquivo “somente leitura” para alterar o proprietário e as permissões de um arquivo. Esse problema está relacionado a falhas no controle de acesso.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-264

Identificadores relacionados

ALSA-2024:5814
ALSA-2024:5815
AZL-48849
BDU:2024-05685
BIT-NODE-2024-36137
BIT-NODE-MIN-2024-36137
CESA-2024_5814
CVE-2024-36137
INFSA-2024_5814
INFSA-2024_5815
MGASA-2024-0282
OESA-2025-1519
OESA-2025-1520
OPENSUSE-SU-2024:14214-1
OPENSUSE-SU-2024:14435-1
OPENSUSE-SU-2025:15802-1
RHSA-2024:5814
RHSA-2024:5815
RHSA-2024_5814
RHSA-2024_5815
RLSA-2024:5814
RLSA-2024:5815
SUSE-SU-2024:2543-1
SUSE-SU-2024:2574-1

Produtos afetados

Almalinux
Centos
Node.Js
Red Hat
Rocky Linux
Suse