Node.js — программная платформа, основанная на движке V8 (компилирующем JavaScript в машинный код)

Релизный цикл, информация об уязвимостях

Продукт: Node.js

Вендор: nodejs

График релизов

Недавние уязвимости Node.js

Количество 1 014

CVE-2023-32004

почти 2 года назад

A vulnerability has been discovered in Node.js version 20, specifically within the experimental permission model. This flaw relates to improper handling of Buffers in file system APIs causing a traversal path to bypass when verifying file permissions. This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.

CVSS3: 8.8

EPSS: Низкий

CVE-2023-32006

почти 2 года назад

The use of `module.constructor.createRequire()` can bypass the policy mechanism and require modules outside of the policy.json definition for a given module. This vulnerability affects all users using the experimental policy mechanism in all active release lines: 16.x, 18.x, and, 20.x. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js.

CVSS3: 7.1

EPSS: Низкий

BDU:2023-04954

почти 2 года назад

Уязвимость модуля module.constructor.createRequire() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности

CVSS3: 6.5

EPSS: Низкий

BDU:2023-04953

почти 2 года назад

Уязвимость модуля Module._load() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности

CVSS3: 7.5

EPSS: Низкий

BDU:2023-04955

почти 2 года назад

Уязвимость модуля process.binding() программной платформы Node.js, позволяющая нарушителю обойти существующие ограничения безопасности

CVSS3: 7.5

EPSS: Низкий

BDU:2023-04960

около 2 лет назад

Уязвимость функций DH_check(), DH_check_ex(), EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 5.3

EPSS: Низкий

BDU:2023-08046

около 2 лет назад

Уязвимость модуля WebAssembly программной платформы Node.js, позволяющая нарушителю выполнить произвольные команды

CVSS3: 5.3

EPSS: Низкий

BDU:2023-04957

около 2 лет назад

Уязвимость функций DH_check(), DH_check_ex() или EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 5.3

EPSS: Низкий

BDU:2023-04959

около 2 лет назад

Уязвимость алгоритма шифрования AES-SIV библиотеки OpenSSL, позволяющая нарушителю обойти процесс аутентификации

CVSS3: 5.3

EPSS: Низкий

BDU:2024-08724

около 2 лет назад

Уязвимость функции process.binding() программной платформы Node.js, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации

CVSS3: 7.5

EPSS: Низкий

Уязвимостей на страницу

Уязвимость	CVSS	EPSS	Опубликовано 1
CVE-2023-32004 A vulnerability has been discovered in Node.js version 20, specifically within the experimental permission model. This flaw relates to improper handling of Buffers in file system APIs causing a traversal path to bypass when verifying file permissions. This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.	CVSS3: 8.8	0% Низкий	почти 2 года назад
CVE-2023-32006 The use of `module.constructor.createRequire()` can bypass the policy mechanism and require modules outside of the policy.json definition for a given module. This vulnerability affects all users using the experimental policy mechanism in all active release lines: 16.x, 18.x, and, 20.x. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js.	CVSS3: 7.1	0% Низкий	почти 2 года назад
BDU:2023-04954 Уязвимость модуля module.constructor.createRequire() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности	CVSS3: 6.5	0% Низкий	почти 2 года назад
BDU:2023-04953 Уязвимость модуля Module._load() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности	CVSS3: 7.5	0% Низкий	почти 2 года назад
BDU:2023-04955 Уязвимость модуля process.binding() программной платформы Node.js, позволяющая нарушителю обойти существующие ограничения безопасности	CVSS3: 7.5	0% Низкий	почти 2 года назад
BDU:2023-04960 Уязвимость функций DH_check(), DH_check_ex(), EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании	CVSS3: 5.3	0% Низкий	около 2 лет назад
BDU:2023-08046 Уязвимость модуля WebAssembly программной платформы Node.js, позволяющая нарушителю выполнить произвольные команды	CVSS3: 5.3	0% Низкий	около 2 лет назад
BDU:2023-04957 Уязвимость функций DH_check(), DH_check_ex() или EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании	CVSS3: 5.3	1% Низкий	около 2 лет назад
BDU:2023-04959 Уязвимость алгоритма шифрования AES-SIV библиотеки OpenSSL, позволяющая нарушителю обойти процесс аутентификации	CVSS3: 5.3	0% Низкий	около 2 лет назад
BDU:2024-08724 Уязвимость функции process.binding() программной платформы Node.js, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации	CVSS3: 7.5	0% Низкий	около 2 лет назад

Уязвимостей на страницу