ГлавнаяБаза уязвимостей БДУ → BDU:2024-05133
10критическая

BDU:2024-05133 (CVE-2024-36138)

Уязвимость программной платформы Node.js, связанная с ошибками при обработке входных данных, позволяющая нарушителю выполнять произвольные команды
Опубликовано: 2024-07-09
Описание

Уязвимость программной платформы Node.js связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды

Затрагиваемое ПО и версии
WindowsNode.js (до 18.20.4)Node.js (до 20.15.1)Node.js (до 22.4.1)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет).

Использование рекомендаций производителя:
https://nodejs.org/en/blog/vulnerability/july-2024-security-releases

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения nodejs до версии 18.20.4+dfsg-1~deb12u1.osnova3u1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nodejs.org/en/blog/vulnerability/july-2024-security-releaseshttps://nodejs.org/en/blog/release/v20.15.1https://stackdiary.com/node-js-security-release-addresses-high-medium-vulnerabilities/https://securityonline.info/cve-2024-36138-high-severity-vulnerability-in-node-js-allows-code-execution-on-windows/https://securityonline.info/major-node-js-security-flaws-millions-of-apps-could-be-vulnerable/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/3.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена