Логотип exploitDog
product: "node.js"
Консоль
Логотип exploitDog

exploitDog

product: "node.js"
Node.js

Node.jsпрограммная платформа, основанная на движке V8 (компилирующем JavaScript в машинный код)

Релизный цикл, информация об уязвимостях

Продукт: Node.js
Вендор: nodejs

График релизов

2021222324252023202420252026202720282029

Недавние уязвимости Node.js

Количество 1 036

nvd логотип

CVE-2024-3566

почти 2 года назад

A command inject vulnerability allows an attacker to perform command injection on Windows applications that indirectly depend on the CreateProcess function when the specific conditions are satisfied.

CVSS3: 9.8
EPSS: Низкий
debian логотип

CVE-2024-3566

почти 2 года назад

A command inject vulnerability allows an attacker to perform command i ...

CVSS3: 9.8
EPSS: Низкий
fstec логотип

BDU:2024-03125

почти 2 года назад

Уязвимость программной платформы Node.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

CVSS3: 6.1
EPSS: Низкий
fstec логотип

BDU:2024-02689

почти 2 года назад

Уязвимость функции node::http2::Http2Session::~Http2Session() HTTP/2-сервера программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 5.3
EPSS: Высокий
fstec логотип

BDU:2024-04471

почти 2 года назад

Уязвимость компонента Permission Model (модель разрешений) программной платформы Node.js, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

CVSS3: 5
EPSS: Низкий
fstec логотип

BDU:2024-04313

почти 2 года назад

Уязвимость модуля setuid() программной платформы Node.js, позволяющая нарушителю повысить свои привилегии

CVSS3: 7.3
EPSS: Низкий
fstec логотип

BDU:2024-02698

почти 2 года назад

Уязвимость функции fetch() программной платформы Node.js, позволяющая нарушителю вызывать отказ в обслуживании (DoS)

CVSS3: 6.5
EPSS: Низкий
fstec логотип

BDU:2024-05853

почти 2 года назад

Уязвимость функций child_process.spawn() и child_process.spawnSync() программной платформы Node.js операционных систем Windows, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольные команды

CVSS3: 8.8
EPSS: Низкий
suse-cvrf логотип

SUSE-OU-2024:0647-1

почти 2 года назад

Optional update for icu

EPSS: Низкий
github логотип

GHSA-3q5r-g7hx-jv3c

почти 2 года назад

The permission model protects itself against path traversal attacks by calling path.resolve() on any paths given by the user. If the path is to be treated as a Buffer, the implementation uses Buffer.from() to obtain a Buffer from the result of path.resolve(). By monkey-patching Buffer internals, namely, Buffer.prototype.utf8Write, the application can modify the result of path.resolve(), which leads to a path traversal vulnerability. This vulnerability affects all users using the experimental permission model in Node.js 20 and Node.js 21. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.

CVSS3: 7.9
EPSS: Низкий

Уязвимостей на страницу

Уязвимость
CVSS
EPSS
Опубликовано
1
nvd логотип
CVE-2024-3566

A command inject vulnerability allows an attacker to perform command injection on Windows applications that indirectly depend on the CreateProcess function when the specific conditions are satisfied.

CVSS3: 9.8
5%
Низкий
почти 2 года назад
debian логотип
CVE-2024-3566

A command inject vulnerability allows an attacker to perform command i ...

CVSS3: 9.8
5%
Низкий
почти 2 года назад
fstec логотип
BDU:2024-03125

Уязвимость программной платформы Node.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

CVSS3: 6.1
0%
Низкий
почти 2 года назад
fstec логотип
BDU:2024-02689

Уязвимость функции node::http2::Http2Session::~Http2Session() HTTP/2-сервера программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 5.3
76%
Высокий
почти 2 года назад
fstec логотип
BDU:2024-04471

Уязвимость компонента Permission Model (модель разрешений) программной платформы Node.js, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

CVSS3: 5
1%
Низкий
почти 2 года назад
fstec логотип
BDU:2024-04313

Уязвимость модуля setuid() программной платформы Node.js, позволяющая нарушителю повысить свои привилегии

CVSS3: 7.3
1%
Низкий
почти 2 года назад
fstec логотип
BDU:2024-02698

Уязвимость функции fetch() программной платформы Node.js, позволяющая нарушителю вызывать отказ в обслуживании (DoS)

CVSS3: 6.5
0%
Низкий
почти 2 года назад
fstec логотип
BDU:2024-05853

Уязвимость функций child_process.spawn() и child_process.spawnSync() программной платформы Node.js операционных систем Windows, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольные команды

CVSS3: 8.8
0%
Низкий
почти 2 года назад
suse-cvrf логотип
SUSE-OU-2024:0647-1

Optional update for icu

1%
Низкий
почти 2 года назад
github логотип
GHSA-3q5r-g7hx-jv3c

The permission model protects itself against path traversal attacks by calling path.resolve() on any paths given by the user. If the path is to be treated as a Buffer, the implementation uses Buffer.from() to obtain a Buffer from the result of path.resolve(). By monkey-patching Buffer internals, namely, Buffer.prototype.utf8Write, the application can modify the result of path.resolve(), which leads to a path traversal vulnerability. This vulnerability affects all users using the experimental permission model in Node.js 20 and Node.js 21. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.

CVSS3: 7.9
1%
Низкий
почти 2 года назад

Уязвимостей на страницу

Поделиться