PT-2024-5241 · Node.Js+2 · Node.Js+2

Tianst

·

Publicado

2024-02-29

·

Atualizado

2025-01-10

·

CVE-2024-27980

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas:
Versões 18.x, 20.x e 21.x do Node.js
Descrição:
O problema está relacionado ao tratamento inadequado de arquivos em lote nos métodos child process.spawn e child process.spawnSync em plataformas Windows. Isso permite que um argumento de linha de comando malicioso injete comandos arbitrários e execute código, mesmo que a opção de shell não esteja habilitada. O número estimado de dispositivos potencialmente afetados não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações:
Para as versões 18.x, 20.x e 21.x do Node.js, atualize para uma versão que inclua a correção para essa vulnerabilidade.
Como solução alternativa temporária, considere desativar a função child process.spawn até que um patch esteja disponível.
Restrinja o acesso à função child process.spawnSync para minimizar o risco de exploração.
Evite usar o parâmetro args na função child process.spawn afetada até que o problema seja resolvido.

Correção

OS Command Injection

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78CWE-77

Identificadores relacionados

ALT-PU-2024-7199
BDU:2024-05853
BIT-NODE-2024-27980
BIT-NODE-MIN-2024-27980
CVE-2024-27980
OPENSUSE-SU-2024:14025-1
OPENSUSE-SU-2024:14214-1
OPENSUSE-SU-2024_2542-1
SUSE-SU-2024:2496-1
SUSE-SU-2024:2542-1
SUSE-SU-2024:2543-1
SUSE-SU-2024:2574-1

Produtos afetados

Alt Linux
Node.Js
Suse