Node.js — программная платформа, основанная на движке V8 (компилирующем JavaScript в машинный код)
Релизный цикл, информация об уязвимостях
График релизов
Количество 1 025
BDU:2023-02699
Уязвимость библиотеки minimatch программной платформы Node.js, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании»
BDU:2023-04972
Уязвимость алгоритм шифрования AES-XTS библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2023-04973
Уязвимость функции X509_VERIFY_PARAM_add0_policy() библиотеки OpenSSL, позволяющая нарушителю выполнить атаку типа «человек посередине»
BDU:2023-03312
Уязвимость криптографической библиотеки OpenSSL, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю обойти проверку политик для сертификата
BDU:2023-05169
Уязвимость пакета Request программной платформы Node.js, позволяющая нарушителю осуществить SSRF-атаку
SUSE-SU-2023:0682-1
Security update for nodejs12
SUSE-SU-2023:0606-1
Security update for nodejs10
GHSA-fj8r-46q3-hp4r
An untrusted search path vulnerability exists in Node.js. <19.6.1, <18.14.1, <16.19.1, and <14.21.3 that could allow an attacker to search and potentially load ICU data when running with elevated privileges.
GHSA-mfq6-mjjx-mp7f
A cryptographic vulnerability exists in Node.js <19.2.0, <18.14.1, <16.19.1, <14.21.3 that in some cases did does not clear the OpenSSL error stack after operations that may set it. This may lead to false positive errors during subsequent cryptographic operations that happen to be on the same thread. This in turn could be used to cause a denial of service.
GHSA-33p5-m25c-cp6w
A privilege escalation vulnerability exists in Node.js <19.6.1, <18.14.1, <16.19.1 and <14.21.3 that made it possible to bypass the experimental Permissions (https://nodejs.org/api/permissions.html) feature in Node.js and access non authorized modules by using process.mainModule.require(). This only affects users who had enabled the experimental permissions option with --experimental-policy.
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
 | BDU:2023-02699 Уязвимость библиотеки minimatch программной платформы Node.js, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании» | CVSS3: 7.5 | 1% Низкий | больше 2 лет назад |
| BDU:2023-04972 Уязвимость алгоритм шифрования AES-XTS библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 5.9 | 0% Низкий | больше 2 лет назад |
| BDU:2023-04973 Уязвимость функции X509_VERIFY_PARAM_add0_policy() библиотеки OpenSSL, позволяющая нарушителю выполнить атаку типа «человек посередине» | CVSS3: 5.3 | 1% Низкий | больше 2 лет назад |
| BDU:2023-03312 Уязвимость криптографической библиотеки OpenSSL, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю обойти проверку политик для сертификата | CVSS3: 5.3 | 0% Низкий | больше 2 лет назад |
| BDU:2023-05169 Уязвимость пакета Request программной платформы Node.js, позволяющая нарушителю осуществить SSRF-атаку | CVSS3: 6.1 | 1% Низкий | больше 2 лет назад |
 | SUSE-SU-2023:0682-1 Security update for nodejs12 | 0% Низкий | больше 2 лет назад | |
| SUSE-SU-2023:0606-1 Security update for nodejs10 | 0% Низкий | больше 2 лет назад | |
| GHSA-fj8r-46q3-hp4r An untrusted search path vulnerability exists in Node.js. <19.6.1, <18.14.1, <16.19.1, and <14.21.3 that could allow an attacker to search and potentially load ICU data when running with elevated privileges. | CVSS3: 4.2 | 0% Низкий | больше 2 лет назад |
| GHSA-mfq6-mjjx-mp7f A cryptographic vulnerability exists in Node.js <19.2.0, <18.14.1, <16.19.1, <14.21.3 that in some cases did does not clear the OpenSSL error stack after operations that may set it. This may lead to false positive errors during subsequent cryptographic operations that happen to be on the same thread. This in turn could be used to cause a denial of service. | CVSS3: 7.5 | 1% Низкий | больше 2 лет назад |
| GHSA-33p5-m25c-cp6w A privilege escalation vulnerability exists in Node.js <19.6.1, <18.14.1, <16.19.1 and <14.21.3 that made it possible to bypass the experimental Permissions (https://nodejs.org/api/permissions.html) feature in Node.js and access non authorized modules by using process.mainModule.require(). This only affects users who had enabled the experimental permissions option with --experimental-policy. | CVSS3: 7.5 | 0% Низкий | больше 2 лет назад |
Уязвимостей на страницу