关于Node.js权限绕过漏洞(CVE-2023-23918)的预警提示
2023-03-03      阅读次数: 1251

一、漏洞详情

Node.js是一个开源、跨平台的JavaScript运行时环境。

Node.js 19.x18.x16.x  14.x多个版本中由于权限控制不当,可以通过使用process.mainModule.require()绕过Node.js权限策略并访问未授权的模块。该漏洞仅影响使用--experimental-policy启用实验权限选项的用户。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Node.js 版本< 19.6.1

Node.js 版本< 18.14.1

Node.js 版本< 16.19.1

Node.js 版本< 14.21.3

三、修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Node.js 版本>= 19.6.1

Node.js 版本>= 18.14.1

Node.js 版本>= 16.19.1

Node.js 版本>= 14.21.3

下载链接:https://nodejs.org/en/download/
[功能按钮]
打印
中国・江苏・常州:常州市中吴大道1801号(213001)
TEL:0086-519-86953560 CHANGZHOU CITY JIANGSU PROVINCE CHINA
版权所有 2005-2017 江苏理工学院信息中心制作维护