Node.js child_process.spawn Windows命令注入漏洞(CVE-2024-36138)
CVE编号
CVE-2024-36138利用情况
暂无补丁情况
N/A披露时间
2024-09-08漏洞描述
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境,用于构建快速、可扩展的网络应用程序。 Windows 的 CreateProcess() 函数在执行批处理文件(.bat、.cmd)时,,即使应用程序本身并没有在命令行中指定这些文件扩展名,仍会隐式地调用cmd.exe 进程。该风险在2011年已经在微软文档中提及,但仍存在多个语言实现不当。 由于Node.js 在处理 Windows 批处理文件时,未正确转义参数。攻击者可能利用该漏洞,通过传入恶意的命令行参数,使 child_process 模块在执行时不正确地处理参数,执行额外的系统命令。 该漏洞是对CVE-2024-27980的绕过,针对上次修复只做了单次匹配后缀名,可以通过文件名中添加多个点或末尾的空格和点进行绕过。 非Windows环境或 Windows 上其他的命令执行方式不受影响。解决建议
"将组件 node.js 升级至 22.4.1 及以上版本""将组件 node.js 升级至 18.20.4 及以上版本""将组件 node.js 升级至 20.15.1 及以上版本"
参考链接 |
|
|---|---|
| https://nodejs.org/en/blog/vulnerability/july-2024-security-releases |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | nodejs | * | Up to (excluding) 12.22.12~dfsg-1~deb11u4 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | nodejs | * | Up to (excluding) 18.19.0+dfsg-6~deb12u2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.5 | npm18 | * | Up to (excluding) 18.20.4-150400.9.24.2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.6 | npm20 | * | Up to (excluding) 20.15.1-150600.3.3.2 | |||||
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论