安全研究

安全漏洞
Node.js路径遍历漏洞(CVE-2023-32003)

发布日期:2023-08-15
更新日期:2023-12-04

受影响系统:
Node.js Node.js >= 20.0.0
Node.js Node.js <= 20.5.0
描述:
CVE(CAN) ID: CVE-2023-32003

Node.js是一个开源、跨平台的JavaScript运行时环境。
Node.js 20.0.0至20.5.0版本存在路径遍历漏洞,该漏洞源于程序未对fs.mkdtemp() API进行正确检查,攻击者可利用该漏洞通过fs.mkdtemp()和fs.mkdtempSync()绕过权限模型检查并创建任意目录。

<**>

建议:
厂商补丁:

Node.js
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://hackerone.com/reports/2037887

浏览次数:595
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障