一、漏洞详情
Node.js是一个开源、跨平台的JavaScript运行时环境。
Node.js 19.x、18.x、16.x 和 14.x多个版本中由于权限控制不当,可以通过使用process.mainModule.require()绕过Node.js权限策略并访问未授权的模块。该漏洞仅影响使用--experimental-policy启用实验权限选项的用户。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Node.js 版本< 19.6.1
Node.js 版本< 18.14.1
Node.js 版本< 16.19.1
Node.js 版本< 14.21.3
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Node.js 版本>= 19.6.1
Node.js 版本>= 18.14.1
Node.js 版本>= 16.19.1
Node.js 版本>= 14.21.3
下载链接:https://nodejs.org/en/download/