关于Node.js权限绕过漏洞(CVE-2023-23918)的预警提示
发布时间:2023-03-06浏览次数:511
一、漏洞详情 Node.js是一个开源、跨平台的JavaScript运行时环境。 Node.js 19.x、18.x、16.x 和 14.x多个版本中由于权限控制不当,可以通过使用process.mainModule.require()绕过Node.js权限策略并访问未授权的模块。该漏洞仅影响使用--experimental-policy启用实验权限选项的用户。 建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。 二、影响范围 Node.js 版本< 19.6.1 Node.js 版本< 18.14.1 Node.js 版本< 16.19.1 Node.js 版本< 14.21.3 三、修复建议 目前该漏洞已经修复,受影响用户可升级到以下版本: Node.js 版本>= 19.6.1 Node.js 版本>= 18.14.1 Node.js 版本>= 16.19.1 Node.js 版本>= 14.21.3 下载链接:https://nodejs.org/en/download/ |