Node.js — программная платформа, основанная на движке V8 (компилирующем JavaScript в машинный код)

Релизный цикл, информация об уязвимостях

Продукт: Node.js

Вендор: nodejs

График релизов

Недавние уязвимости Node.js

Количество 1 025

CVE-2023-32004

около 2 лет назад

A vulnerability has been discovered in Node.js version 20, specifically within the experimental permission model. This flaw relates to improper handling of Buffers in file system APIs causing a traversal path to bypass when verifying file permissions. This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.

CVSS3: 8.8

EPSS: Низкий

CVE-2023-32559

около 2 лет назад

A privilege escalation vulnerability exists in the experimental policy mechanism in all active release lines: 16.x, 18.x and, 20.x. The use of the deprecated API `process.binding()` can bypass the policy mechanism by requiring internal modules and eventually take advantage of `process.binding('spawn_sync')` run arbitrary code, outside of the limits defined in a `policy.json` file. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js.

CVSS3: 7.5

EPSS: Низкий

BDU:2023-04955

около 2 лет назад

Уязвимость модуля process.binding() программной платформы Node.js, позволяющая нарушителю обойти существующие ограничения безопасности

CVSS3: 7.5

EPSS: Низкий

BDU:2023-04954

около 2 лет назад

Уязвимость модуля module.constructor.createRequire() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности

CVSS3: 6.5

EPSS: Низкий

BDU:2023-04953

около 2 лет назад

Уязвимость модуля Module._load() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности

CVSS3: 7.5

EPSS: Низкий

BDU:2023-04960

больше 2 лет назад

Уязвимость функций DH_check(), DH_check_ex(), EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 5.3

EPSS: Низкий

BDU:2023-08046

больше 2 лет назад

Уязвимость модуля WebAssembly программной платформы Node.js, позволяющая нарушителю выполнить произвольные команды

CVSS3: 5.3

EPSS: Низкий

BDU:2023-04957

больше 2 лет назад

Уязвимость функций DH_check(), DH_check_ex() или EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 5.3

EPSS: Низкий

BDU:2023-04959

больше 2 лет назад

Уязвимость алгоритма шифрования AES-SIV библиотеки OpenSSL, позволяющая нарушителю обойти процесс аутентификации

CVSS3: 5.3

EPSS: Низкий

BDU:2024-08724

больше 2 лет назад

Уязвимость функции process.binding() программной платформы Node.js, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации

CVSS3: 7.5

EPSS: Низкий

Уязвимостей на страницу

Уязвимость	CVSS	EPSS	Опубликовано 1
CVE-2023-32004 A vulnerability has been discovered in Node.js version 20, specifically within the experimental permission model. This flaw relates to improper handling of Buffers in file system APIs causing a traversal path to bypass when verifying file permissions. This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.	CVSS3: 8.8	0% Низкий	около 2 лет назад
CVE-2023-32559 A privilege escalation vulnerability exists in the experimental policy mechanism in all active release lines: 16.x, 18.x and, 20.x. The use of the deprecated API `process.binding()` can bypass the policy mechanism by requiring internal modules and eventually take advantage of `process.binding('spawn_sync')` run arbitrary code, outside of the limits defined in a `policy.json` file. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js.	CVSS3: 7.5	0% Низкий	около 2 лет назад
BDU:2023-04955 Уязвимость модуля process.binding() программной платформы Node.js, позволяющая нарушителю обойти существующие ограничения безопасности	CVSS3: 7.5	0% Низкий	около 2 лет назад
BDU:2023-04954 Уязвимость модуля module.constructor.createRequire() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности	CVSS3: 6.5	0% Низкий	около 2 лет назад
BDU:2023-04953 Уязвимость модуля Module._load() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности	CVSS3: 7.5	0% Низкий	около 2 лет назад
BDU:2023-04960 Уязвимость функций DH_check(), DH_check_ex(), EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании	CVSS3: 5.3	0% Низкий	больше 2 лет назад
BDU:2023-08046 Уязвимость модуля WebAssembly программной платформы Node.js, позволяющая нарушителю выполнить произвольные команды	CVSS3: 5.3	0% Низкий	больше 2 лет назад
BDU:2023-04957 Уязвимость функций DH_check(), DH_check_ex() или EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании	CVSS3: 5.3	1% Низкий	больше 2 лет назад
BDU:2023-04959 Уязвимость алгоритма шифрования AES-SIV библиотеки OpenSSL, позволяющая нарушителю обойти процесс аутентификации	CVSS3: 5.3	0% Низкий	больше 2 лет назад
BDU:2024-08724 Уязвимость функции process.binding() программной платформы Node.js, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации	CVSS3: 7.5	0% Низкий	больше 2 лет назад

Уязвимостей на страницу