发布日期：2020-06-03
更新日期：2020-09-11

受影响系统：

Joyent Node.js < 14.4.0
Joyent Node.js < 12.18.0

描述：

---

CVE(CAN) ID: CVE-2020-8172

Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。该平台主要用于构建高度可伸缩的应用程序，以及编写能够处理数万条且同时连接到一个物理机的连接代码。
Joyent Node.js 12.18.0之前版本和14.4.0之前版本存在安全限制绕过漏洞。攻击者可利用该漏洞在“ secureConnect”事件之前发出“会话”事件并允许重用TLS会话，绕过主机证书验证且获得对系统的访问权限。

<**>

建议：

---

厂商补丁：

Joyent
------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://nodejs.org/en/blog/vulnerability/june-2020-security-releases/

浏览次数：698
严重程度：0（网友投票）