漏洞描述
nodejs权限控制,Node.js是一个开源、跨平台的 JavaScript 运行时环境。
该项目受影响版本存在权限绕过漏洞,由于loader.js中缺少对权限的验证。远程攻击者可使用 process.mainModule.require(绕过Node.js权限策略并访问未授权的模块。
受影响版本为Node.js 19.x、18.x、16.x 和 14.x,且该漏洞仅影响使用--experimental-policy 启用实验权限选项的用户。
| 漏洞名称 | Node.js 存在权限绕过漏洞 |
|---|---|
| 漏洞类型 | 授权机制不正确 |
| 发现时间 | 2023-02-28 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2023-2178 |
| CVE编号 | CVE-2023-23918 |
| CNVD编号 | - |
影响范围
node@[14.0.0, 14.21.3
node@[16.0.0, 16.19.1
node@[19.0.0, 19.6.1
node@[18.0.0, 18.14.1
nodejs@影响所有版本
nodejs@影响所有版本
修复方案
将 node 升级至 14.21.3、 16.19.1、18.14.1 、19.6.1 及以上版本
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
