发布日期：2020-05-16
更新日期：2020-08-14

受影响系统：

Node.js kerberos package < 1.0.0

描述：

---

CVE(CAN) ID: CVE-2020-13110

kerberos package for Node.js是一款基于Node.js、为kerberos身份验证提供跨平台支持的软件包。
kerberos package for Node.js 1.0.0之前版本中的DLL路径搜索过程存在权限提升漏洞。攻击者可借助kerberos_sspi LoadLibrary()方法注入恶意的DLLs利用该漏洞执行任意代码和提升权限。

<*来源：Dan Shallom
  *>

建议：

---

厂商补丁：

Node.js
-------
目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.npmjs.com/package/kerberos

浏览次数：844
严重程度：0（网友投票）