ГлавнаяБаза уязвимостей БДУ → BDU:2024-05853
10критическая

BDU:2024-05853 (CVE-2024-27980)

Уязвимость функций child_process.spawn() и child_process.spawnSync() программной платформы Node.js операционных систем Windows, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольные команды
Опубликовано: 2024-07-31
Описание

Уязвимость функций child_process.spawn() и child_process.spawnSync() программной платформы Node.js операционных систем Windows связана с некорректной обработкой параметра shell в файлах .bat и .cmd. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности и выполнить произвольные команды

Затрагиваемое ПО и версии
Node.js (от 18.0 до 18.20.2)Node.js (от 20.0 до 20.12.2)Node.js (от 21.0 до 21.7.3)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций:
https://nodejs.org/en/blog/vulnerability/april-2024-security-releases-2
https://github.com/nodejs/node/releases/tag/v18.20.2
https://github.com/nodejs/node/releases/tag/v20.12.2
https://github.com/nodejs/node/releases/tag/v21.7.3
https://nodejs.org/en/download/package-manager

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения nodejs до версии 18.20.4+dfsg-1~deb12u1.osnova3u1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nodejs.org/en/blog/vulnerability/april-2024-security-releases-2https://vuldb.com/ru/?id.260344https://hackerone.com/reports/2461831https://thecyberthrone.in/2024/07/09/node-js-fixes-multiple-vulnerabilities-cve-2024-27980/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/3.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена