首页
社区
课程
招聘
[分享]可能允许攻击者在Windows设备上执行恶意代码,Node.js披露一个命令注入漏洞
发表于: 2024-4-17 19:10 2399

[分享]可能允许攻击者在Windows设备上执行恶意代码,Node.js披露一个命令注入漏洞

2024-4-17 19:10
2399

Node.js项目近日披露,其在Windows平台上的多个活跃版本存在一个高危漏洞。据悉,即使“shell”选项被禁用,此漏洞仍可能允许攻击者在受影响的设备上执行恶意代码,这给构建在Node.js上的应用和服务带来了严重风险。



该漏洞(CVE-2024-27980)由安全研究员Ryotak发现并报告,源于Node.js通过‘child_process.spawn’或‘child_process.spawnSync’函数执行代码时处理.bat文件的方式。攻击者可以将恶意命令注入到特制的命令行参数中,绕过‘shell’选项被禁用时理应存在的安全机制。成功利用此漏洞可能允使攻击者在受影响系统上远程执行任意命令。



该漏洞的影响广泛,波及所有在Windows上使用18.x、20.x、21.x版本的Node.js用户。Node.js项目对此迅速反应,已由Ben Noordhuis进行修复,并对受影响版本发布了相应的安全更新。Node.js项目表示此漏洞可被利用,攻击者可能获取对被攻击系统的重要控制(如安装恶意软件、窃取数据或干扰运营)。因此迅速采取行动至关重要,建议用户立即进行升级,以保护其应用和基础设施免受潜在利用的风险。


应对措施:

① 立即更新Windows系统上的Node.js到可用的修补版本。关注官方Node.js项目渠道以获取最新讯息。

② 若使用‘child_process.spawn’或相关函数,请审查输入处理,确保命令行参数不会被篡改,考虑采取额外的验证和清理措施。



编辑:左右里

资讯来源:github、cybersecuritynews

转载请注明出处和本文链接


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 3070
活跃值: (30876)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2024-4-19 10:30
1
游客
登录 | 注册 方可回帖
返回
//