发布日期：2024-02-09
更新日期：2024-08-22

受影响系统：

pkg pkg <= 5.8.1

描述：

---

CVE(CAN) ID: CVE-2024-24828

pkg是一个将Node.js项目打包为可执行文件的库。
pkg 5.8.1及之前版本存在默认权限错误漏洞，具有本地系统权限的攻击者可利用该漏洞用恶意可执行文件替换共享目录中真正的可执行文件，进而执行该恶意文件。

<**>

建议：

---

厂商补丁：

pkg
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/vercel/pkg/security/advisories/GHSA-22r3-9w55-cj54

浏览次数：78
严重程度：0（网友投票）