Node.js — программная платформа, основанная на движке V8 (компилирующем JavaScript в машинный код)
Релизный цикл, информация об уязвимостях
График релизов
Количество 1 065
CVE-2024-3566
A command inject vulnerability allows an attacker to perform command i ...
BDU:2024-03125
Уязвимость программной платформы Node.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
BDU:2024-02689
Уязвимость функции node::http2::Http2Session::~Http2Session() HTTP/2-сервера программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-02698
Уязвимость функции fetch() программной платформы Node.js, позволяющая нарушителю вызывать отказ в обслуживании (DoS)
BDU:2024-04313
Уязвимость модуля setuid() программной платформы Node.js, позволяющая нарушителю повысить свои привилегии
BDU:2024-04471
Уязвимость компонента Permission Model (модель разрешений) программной платформы Node.js, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-05853
Уязвимость функций child_process.spawn() и child_process.spawnSync() программной платформы Node.js операционных систем Windows, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольные команды
SUSE-OU-2024:0647-1
Optional update for icu
GHSA-4rwx-mrf5-wx33
Node.js depends on multiple built-in utility functions to normalize paths provided to node:fs functions, which can be overwitten with user-defined implementations leading to filesystem permission model bypass through path traversal attack. This vulnerability affects all users using the experimental permission model in Node.js 20 and Node.js 21. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.
GHSA-f27j-4f6g-jp27
On Linux, Node.js ignores certain environment variables if those may have been set by an unprivileged user while the process is running with elevated privileges with the only exception of CAP_NET_BIND_SERVICE. Due to a bug in the implementation of this exception, Node.js incorrectly applies this exception even when certain other capabilities have been set. This allows unprivileged users to inject code that inherits the process's elevated privileges.
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
| CVE-2024-3566 A command inject vulnerability allows an attacker to perform command i ... | CVSS3: 9.8 | 5% Низкий | почти 2 года назад |
 | BDU:2024-03125 Уязвимость программной платформы Node.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) | CVSS3: 6.1 | 0% Низкий | почти 2 года назад |
| BDU:2024-02689 Уязвимость функции node::http2::Http2Session::~Http2Session() HTTP/2-сервера программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 5.3 | 76% Высокий | почти 2 года назад |
| BDU:2024-02698 Уязвимость функции fetch() программной платформы Node.js, позволяющая нарушителю вызывать отказ в обслуживании (DoS) | CVSS3: 6.5 | 0% Низкий | почти 2 года назад |
| BDU:2024-04313 Уязвимость модуля setuid() программной платформы Node.js, позволяющая нарушителю повысить свои привилегии | CVSS3: 7.3 | 1% Низкий | почти 2 года назад |
| BDU:2024-04471 Уязвимость компонента Permission Model (модель разрешений) программной платформы Node.js, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации | CVSS3: 5 | 1% Низкий | почти 2 года назад |
| BDU:2024-05853 Уязвимость функций child_process.spawn() и child_process.spawnSync() программной платформы Node.js операционных систем Windows, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольные команды | CVSS3: 8.8 | 0% Низкий | почти 2 года назад |
 | SUSE-OU-2024:0647-1 Optional update for icu | 1% Низкий | почти 2 года назад | |
| GHSA-4rwx-mrf5-wx33 Node.js depends on multiple built-in utility functions to normalize paths provided to node:fs functions, which can be overwitten with user-defined implementations leading to filesystem permission model bypass through path traversal attack. This vulnerability affects all users using the experimental permission model in Node.js 20 and Node.js 21. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js. | CVSS3: 7.9 | 0% Низкий | почти 2 года назад |
| GHSA-f27j-4f6g-jp27 On Linux, Node.js ignores certain environment variables if those may have been set by an unprivileged user while the process is running with elevated privileges with the only exception of CAP_NET_BIND_SERVICE. Due to a bug in the implementation of this exception, Node.js incorrectly applies this exception even when certain other capabilities have been set. This allows unprivileged users to inject code that inherits the process's elevated privileges. | CVSS3: 7.5 | 0% Низкий | почти 2 года назад |
Уязвимостей на страницу