Уязвимость CVE-2023-23918: Информация
Описание
A privilege escalation vulnerability exists in Node.js <19.6.1, <18.14.1, <16.19.1 and <14.21.3 that made it possible to bypass the experimental Permissions (https://nodejs.org/api/permissions.html) feature in Node.js and access non authorized modules by using process.mainModule.require(). This only affects users who had enabled the experimental permissions option with --experimental-policy.
Важность: HIGH (7,5) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Исправленные пакеты
Имя пакета | Ветка | Исправлено в версии | Версия в репозитории | Errata ID | № Задания | Состояние |
---|---|---|---|---|---|---|
node | sisyphus | 16.19.1-alt1 | 20.12.2-alt1 | ALT-PU-2023-1431-1 | 316726 | Исправлено |
node | sisyphus_riscv64 | 16.19.1-alt1 | 20.12.1-alt1 | ALT-PU-2023-2863-1 | - | Исправлено |
node | p10 | 16.19.1-alt1 | 16.19.1-alt1 | ALT-PU-2023-1496-1 | 316988 | Исправлено |
node | c10f1 | 16.19.1-alt1 | 16.19.1-alt1 | ALT-PU-2023-1496-1 | 316988 | Исправлено |
node | c9f2 | 16.19.1-alt0.c9.1 | 16.19.1-alt0.c9.1 | ALT-PU-2023-1494-1 | 316989 | Исправлено |
Ссылки на рекомендации, решения и инструменты
Ссылка | Ресурс |
---|---|
https://nodejs.org/en/blog/vulnerability/february-2023-security-releases/ |
|
https://security.netapp.com/advisory/ntap-20230316-0008/ |