به تازگی یک آسیبپذیری بحرانی با شناسه cve-2024-21488 و شدت 7.3 در Packege networ Node.js کشف شده است که به دلیل استفاده از تابع chile_process exec به وجود خواهد آمد. اگر ورودی کاربر وارد تابع mac_address_for شود این امکان برای مهاجم وجود دارد که دستورات دلخواه خود را بر روی سیستمی که Packege network بر روی آن در حال اجراست را اجرا کند.
محصولات تحت تأثیر
نسخه های قبل از 0.7.0 تحت تأثیر این آسیب پذیری قرار دارند.
توصیههای امنیتی
• در صورت امکان از execFile , execFileSync استفاده کنید.
• در صورت امکان، فقط ورودیهایی را برای اجرا در نظر بگیرید که با لیست مجاز از پیش تعریف شده مطابقت دارند. اگر امکان استفاده از لیست مجاز نیست، میتوان وروردیها را به گونهای تنظیم کرد که حاوی متا کاراکترهایی مانند ()$ نباشند.
منبع خبر:
- 70