PT-2024-6045 · Node.Js+7 · Node.Js+7
Dittyroma
·
Publicado
2024-07-08
·
Atualizado
2026-05-18
·
CVE-2024-22020
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Node.js anteriores à 18.20.4
Versões do Node.js anteriores à 20.15.1
Versões do Node.js anteriores à 22.4.1
Descrição
Uma falha de segurança no Node.js permite contornar restrições de importação de rede. Ao incorporar importações não relacionadas à rede em URLs de dados, um invasor pode executar código arbitrário, comprometendo a segurança do sistema. A vulnerabilidade é mitigada pela proibição de URLs de dados em importações de rede. A exploração dessa falha pode violar a segurança das importações de rede, representando um risco para desenvolvedores e servidores.
Recomendações
Atualize para a versão 18.20.4 do Node.js ou mais recente.
Atualize para a versão 20.15.1 do Node.js ou mais recente.
Atualize para a versão 22.4.1 do Node.js ou mais recente.
Como solução temporária, considere proibir URLs de dados em importações de rede até que um patch esteja disponível.
Correção
Improper Access Control
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Centos
Debian
Node.Js
Red Hat
Red Os
Rocky Linux
Suse