Vulnerabilidades de acceso no autorizado y divulgación de información en Node.js

11/08/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a Node.js, que permitirían a un atacante eludir las restricciones de seguridad, realizar divulgación de información confidencial, entre otros. 

Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”, 2 (dos) de severidad “Media” y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación: 

  • CVE-2023-32002, de severidad “Alta”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en la función Module._load(). Esto permitiría a un atacante remoto a través de una solicitud especialmente diseñada, eludir las restricciones de seguridad y navegar más allá del mecanismo de política de permisos del sistema afectado. 
  • CVE-2023-32004, de severidad “Alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el modelo de permiso experimental en Node.js. Esto permitiría a un atacante remoto a través del manejo incorrecto de buffers en las APIs del sistema de archivos, realizar un ataque del tipo Path Traversal y eludir las restricciones de seguridad. 
  • CVE-2023-32558, de severidad “Alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe al uso de la API obsoleta process.binding(). Esto permitiría a un atacante remoto a través de un ataque del tipo Path Traversal, eludir las restricciones de seguridad y navegar más allá del mecanismo del modelo de permisos. 

Puede acceder al listado completo de vulnerabilidades aquí

El producto afectado es:  

  • Node.js, versiones 20.x, 18.x y 16.x. 

Recomendamos instalar las actualizaciones correspondientes a cada versión provistas por el fabricante en los siguientes enlaces: 

Referencias: 

Compartir: