Node.js — программная платформа, основанная на движке V8 (компилирующем JavaScript в машинный код)

Релизный цикл, информация об уязвимостях

Продукт: Node.js

Вендор: nodejs

График релизов

Недавние уязвимости Node.js

Количество 1 024

CVE-2023-32004

около 2 лет назад

A vulnerability has been discovered in Node.js version 20, specifically within the experimental permission model. This flaw relates to improper handling of Buffers in file system APIs causing a traversal path to bypass when verifying file permissions. This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.

CVSS3: 8.8

EPSS: Низкий

CVE-2023-32005

около 2 лет назад

A vulnerability has been identified in Node.js version 20, affecting users of the experimental permission model when the --allow-fs-read flag is used with a non-* argument. This flaw arises from an inadequate permission model that fails to restrict file stats through the `fs.statfs` API. As a result, malicious actors can retrieve stats from files that they do not have explicit read access to. This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.

CVSS3: 6.5

EPSS: Низкий

BDU:2023-04955

около 2 лет назад

Уязвимость модуля process.binding() программной платформы Node.js, позволяющая нарушителю обойти существующие ограничения безопасности

CVSS3: 7.5

EPSS: Низкий

BDU:2023-04954

около 2 лет назад

Уязвимость модуля module.constructor.createRequire() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности

CVSS3: 6.5

EPSS: Низкий

BDU:2023-04953

около 2 лет назад

Уязвимость модуля Module._load() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности

CVSS3: 7.5

EPSS: Низкий

BDU:2023-04960

около 2 лет назад

Уязвимость функций DH_check(), DH_check_ex(), EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 5.3

EPSS: Низкий

BDU:2023-08046

около 2 лет назад

Уязвимость модуля WebAssembly программной платформы Node.js, позволяющая нарушителю выполнить произвольные команды

CVSS3: 5.3

EPSS: Низкий

BDU:2023-04957

около 2 лет назад

Уязвимость функций DH_check(), DH_check_ex() или EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 5.3

EPSS: Низкий

BDU:2023-04959

около 2 лет назад

Уязвимость алгоритма шифрования AES-SIV библиотеки OpenSSL, позволяющая нарушителю обойти процесс аутентификации

CVSS3: 5.3

EPSS: Низкий

BDU:2024-08724

около 2 лет назад

Уязвимость функции process.binding() программной платформы Node.js, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации

CVSS3: 7.5

EPSS: Низкий

Уязвимостей на страницу

Уязвимость	CVSS	EPSS	Опубликовано 1
CVE-2023-32004 A vulnerability has been discovered in Node.js version 20, specifically within the experimental permission model. This flaw relates to improper handling of Buffers in file system APIs causing a traversal path to bypass when verifying file permissions. This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.	CVSS3: 8.8	0% Низкий	около 2 лет назад
CVE-2023-32005 A vulnerability has been identified in Node.js version 20, affecting users of the experimental permission model when the --allow-fs-read flag is used with a non-* argument. This flaw arises from an inadequate permission model that fails to restrict file stats through the `fs.statfs` API. As a result, malicious actors can retrieve stats from files that they do not have explicit read access to. This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.	CVSS3: 6.5	1% Низкий	около 2 лет назад
BDU:2023-04955 Уязвимость модуля process.binding() программной платформы Node.js, позволяющая нарушителю обойти существующие ограничения безопасности	CVSS3: 7.5	0% Низкий	около 2 лет назад
BDU:2023-04954 Уязвимость модуля module.constructor.createRequire() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности	CVSS3: 6.5	0% Низкий	около 2 лет назад
BDU:2023-04953 Уязвимость модуля Module._load() программной платформы Node.js, позволяющая нарушителю обойти введенные ограничения безопасности	CVSS3: 7.5	0% Низкий	около 2 лет назад
BDU:2023-04960 Уязвимость функций DH_check(), DH_check_ex(), EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании	CVSS3: 5.3	0% Низкий	около 2 лет назад
BDU:2023-08046 Уязвимость модуля WebAssembly программной платформы Node.js, позволяющая нарушителю выполнить произвольные команды	CVSS3: 5.3	0% Низкий	около 2 лет назад
BDU:2023-04957 Уязвимость функций DH_check(), DH_check_ex() или EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании	CVSS3: 5.3	1% Низкий	около 2 лет назад
BDU:2023-04959 Уязвимость алгоритма шифрования AES-SIV библиотеки OpenSSL, позволяющая нарушителю обойти процесс аутентификации	CVSS3: 5.3	0% Низкий	около 2 лет назад
BDU:2024-08724 Уязвимость функции process.binding() программной платформы Node.js, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации	CVSS3: 7.5	0% Низкий	около 2 лет назад

Уязвимостей на страницу