一、漏洞簡介

Node.js是一個開源、跨平臺的 JavaScript 運行時環(huan)境。

Node.js存在安全漏(lou)(lou)洞(dong)(dong)(dong)，該漏(lou)(lou)洞(dong)(dong)(dong)源(yuan)于存在權(quan)(quan)限(xian)提升(sheng)漏(lou)(lou)洞(dong)(dong)(dong)，攻(gong)擊者利用該漏(lou)(lou)洞(dong)(dong)(dong)可以(yi)繞過(guo)驗證(zheng)訪問非授權(quan)(quan)模塊。 

二、影響范圍

Node.js 版本< 19.6.1

Node.js 版(ban)本< 18.14.1

Node.js 版本(ben)< 16.19.1

Node.js 版(ban)本< 14.21.3

三、解決措施

目前官方已在最新(xin)版本(ben)中修復(fu)了該漏洞，請受(shou)影響的用(yong)戶盡快升級版本(ben)進(jin)行(xing)防護，最新(xin)版本(ben)下載鏈(lian)接如(ru)下：

Node.js 版本>= 19.6.1

Node.js 版本>= 18.14.1

Node.js 版(ban)本(ben)>= 16.19.1

Node.js 版本>= 14.21.3

//nodejs.org/en/blog/vulnerability/february-2023-security-releases/

四、參考鏈接

//security.netapp.com/advisory/ntap-20230316-0008/

//nodejs.org/en/blog/vulnerability/february-2023-security-releases/

//www.auscert.org.au/bulletins/ESB-2023.1370

//cxsecurity.com/cveshow/CVE-2023-23918/

//www.auscert.org.au/bulletins/ESB-2023.1533

//www.auscert.org.au/bulletins/ESB-2023.1589