Node.js项目近日披露,其在Windows平台上的多个活跃版本存在一个高危漏洞。据悉,即使“shell”选项被禁用,此漏洞仍可能允许攻击者在受影响的设备上执行恶意代码,这给构建在Node.js上的应用和服务带来了严重风险。
该漏洞(CVE-2024-27980)由安全研究员Ryotak发现并报告,源于Node.js通过‘child_process.spawn’或‘child_process.spawnSync’函数执行代码时处理.bat文件的方式。攻击者可以将恶意命令注入到特制的命令行参数中,绕过‘shell’选项被禁用时理应存在的安全机制。成功利用此漏洞可能允使攻击者在受影响系统上远程执行任意命令。该漏洞的影响广泛,波及所有在Windows上使用18.x、20.x、21.x版本的Node.js用户。Node.js项目对此迅速反应,已由Ben Noordhuis进行修复,并对受影响版本发布了相应的安全更新。Node.js项目表示此漏洞可被利用,攻击者可能获取对被攻击系统的重要控制(如安装恶意软件、窃取数据或干扰运营)。因此迅速采取行动至关重要,建议用户立即进行升级,以保护其应用和基础设施免受潜在利用的风险。① 立即更新Windows系统上的Node.js到可用的修补版本。关注官方Node.js项目渠道以获取最新讯息。② 若使用‘child_process.spawn’或相关函数,请审查输入处理,确保命令行参数不会被篡改,考虑采取额外的验证和清理措施。编辑:左右里
资讯来源:github、cybersecuritynews
转载请注明出处和本文链接
文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458550539&idx=3&sn=099f86598c4ae81395d8ff63cabb3ed8&chksm=b18db18186fa3897caaf5ced92f8a04413d0742f0620475ebd65b7b3eec2dd5079b4f5d5f979&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh