关于Node.js DLL劫持漏洞(CVE-2022-32223)的预警提示

发布时间:2022-07-19浏览次数:482

一、漏洞详情

Node.js是一个基于Chrome V8引擎的开源免费跨平台的JavaScript运行环境。

该漏洞是由于Node.js进程尝试加载providers.dll时没有指定DLL的绝对路径,Windows会按照特定策略进行搜索以找到所需的DLL文件,攻击者可以在当前工作目录写入恶意DLL文件进行DLL劫持攻击,最终执行任意代码。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Node.js < 14.20.0

16.0.0 ≤ Node.js < 16.16.0

17.0.0 ≤ Node.js < 18.5.0

三、修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。

请及时关注更新:https://nodejs.org/en/