网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于Node.js权限绕过漏洞(CVE-2023-23918)的安全预警

日期:2023-03-08阅读:

一、基本情况

Node.js是一个开源、跨平台的 JavaScript 运行时环境。
二、漏洞描述

Node.js 19.x、18.x、16.x 和 14.x 多个版本中由于权限控制不当,可以通过使用 process.mainModule.require()绕过Node.js权限策略并访问未授权的模块。该漏洞仅影响使用--experimental-policy 启用实验权限选项的用户。

三、影响范围

Node.js版本< 19.6.1

Node.js版本< 18.14.1

Node.js版本< 16.19.1

Node.js版本< 14.21.3

四、修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Node.js版本>= 19.6.1

Node.js版本>= 18.14.1

Node.js版本>= 16.19.1

Node.js版本>= 14.21.3

下载链接:https://nodejs.org/en/download/

五、参考链接

https://www.secpulse.com/archives/196830.html


我是盾盾