PT-2025-4813 · Node.Js+8 · Node.Js+8
Leodog896
·
Publicado
2025-01-21
·
Atualizado
2025-12-08
·
CVE-2025-23083
CVSS v3.1
7.7
Alta
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Node.js v20, v22 e v23
Descrição
O utilitário diagnostics channel permite que um evento seja interceptado sempre que uma worker thread é criada, expondo não apenas workers, mas também workers internos. Isso permite que atores maliciosos obtenham instâncias desses workers, acessem seus construtores e potencialmente os reativem para fins maliciosos. O problema afeta usuários do Modelo de Permissão (--permission) e pode ser usado para expor dados e recursos sensíveis.
Recomendações
Para as versões do Node.js v20, v22 e v23, considere desativar o utilitário diagnostics channel como uma solução temporária para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Debian
Node.Js
Red Hat
Red Os
Rocky Linux
Suse