Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00544

Опубликовано: 13 янв. 2026
Источник: fstec
CVSS3: 3.3
CVSS2: 1.7
EPSS Низкий

Описание

Уязвимость функции futimes() программной платформы Node.js связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю получить доступ на изменение файлов

Вендор

Node.js Foundation

Наименование ПО

Node.js

Версия ПО

до 24.13.0 (LTS) (Node.js)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 1,7)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 3,3)
Средний уровень опасности (оценка CVSS 4.0 составляет 4,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://nodejs.org/en/blog/release/v24.13.0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 0%
0.00004
Низкий

3.3 Low

CVSS3

1.7 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-55132

CVSS3: 2.8
ubuntu
14 дней назад

A flaw in Node.js's permission model allows a file's access and modification timestamps to be changed via `futimes()` even when the process has only read permissions. Unlike `utimes()`, `futimes()` does not apply the expected write-permission checks, which means file metadata can be modified in read-only directories. This behavior could be used to alter timestamps in ways that obscure activity, reducing the reliability of logs. This vulnerability affects users of the permission model on Node.js v20, v22, v24, and v25.

nvd логотип

CVE-2025-55132

CVSS3: 2.8
nvd
14 дней назад

A flaw in Node.js's permission model allows a file's access and modification timestamps to be changed via `futimes()` even when the process has only read permissions. Unlike `utimes()`, `futimes()` does not apply the expected write-permission checks, which means file metadata can be modified in read-only directories. This behavior could be used to alter timestamps in ways that obscure activity, reducing the reliability of logs. This vulnerability affects users of the permission model on Node.js v20, v22, v24, and v25.

debian логотип

CVE-2025-55132

CVSS3: 2.8
debian
14 дней назад

A flaw in Node.js's permission model allows a file's access and modifi ...

github логотип

GHSA-pm9v-wcw9-xgpv

CVSS3: 2.8
github
14 дней назад

A flaw in Node.js's permission model allows a file's access and modification timestamps to be changed via `futimes()` even when the process has only read permissions. Unlike `utimes()`, `futimes()` does not apply the expected write-permission checks, which means file metadata can be modified in read-only directories. This behavior could be used to alter timestamps in ways that obscure activity, reducing the reliability of logs. This vulnerability affects users of the permission model on Node.js v20, v22, v24, and v25.

suse-cvrf логотип

SUSE-SU-2026:0301-1

suse-cvrf
8 дней назад

Security update for nodejs22

EPSS

Процентиль: 0%
0.00004
Низкий

3.3 Low

CVSS3

1.7 Low

CVSS2