Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10621

Опубликовано: 21 янв. 2025
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость программной платформы Node.js связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение и удаление файлов

Вендор

Node.js Foundation

Наименование ПО

Node.js

Версия ПО

от 18.0.0 до 18.20.6 (Node.js)
от 20.0.0 до 20.18.2 (Node.js)
от 22.0.0 до 22.13.1 (Node.js)
от 23.0.0 до 23.6.1 (Node.js)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://nodejs.org/en/blog/vulnerability/january-2025-security-releases

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 24%
0.0008
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-23084

CVSS3: 5.5
ubuntu
9 месяцев назад

A vulnerability has been identified in Node.js, specifically affecting the handling of drive names in the Windows environment. Certain Node.js functions do not treat drive names as special on Windows. As a result, although Node.js assumes a relative path, it actually refers to the root directory. On Windows, a path that does not start with the file separator is treated as relative to the current directory. This vulnerability affects Windows users of `path.join` API.

nvd логотип

CVE-2025-23084

CVSS3: 5.5
nvd
9 месяцев назад

A vulnerability has been identified in Node.js, specifically affecting the handling of drive names in the Windows environment. Certain Node.js functions do not treat drive names as special on Windows. As a result, although Node.js assumes a relative path, it actually refers to the root directory. On Windows, a path that does not start with the file separator is treated as relative to the current directory. This vulnerability affects Windows users of `path.join` API.

debian логотип

CVE-2025-23084

CVSS3: 5.5
debian
9 месяцев назад

A vulnerability has been identified in Node.js, specifically affecting ...

github логотип

GHSA-37v4-cwgp-x353

CVSS3: 5.6
github
9 месяцев назад

A vulnerability has been identified in Node.js, specifically affecting the handling of drive names in the Windows environment. Certain Node.js functions do not treat drive names as special on Windows. As a result, although Node.js assumes a relative path, it actually refers to the root directory. On Windows, a path that does not start with the file separator is treated as relative to the current directory. This vulnerability affects Windows users of `path.join` API.

EPSS

Процентиль: 24%
0.0008
Низкий

7.3 High

CVSS3

7.5 High

CVSS2