کشف آسیب‌پذیری در Node.js و امکان تزریق کد از راه دور

کشف آسیب‌پذیری در Node.js و امکان تزریق کد از راه دور

تاریخ ایجاد

به تازگی یک آسیب‌پذیری بحرانی با شناسه  cve-2024-21488 و شدت 7.3 در Packege networ Node.js کشف شده است که به دلیل استفاده از تابع  chile_process exec به وجود خواهد آمد. اگر ورودی کاربر وارد تابع mac_address_for شود این امکان برای مهاجم وجود دارد که دستورات دلخواه خود را بر روی سیستمی که Packege network بر روی آن در حال اجراست را اجرا کند.

محصولات تحت تأثیر
نسخه های قبل از 0.7.0 تحت تأثیر این آسیب پذیری قرار دارند. 

توصیه‌های امنیتی
•    در صورت امکان از execFile , execFileSync استفاده کنید.
•    در صورت امکان، فقط ورودی‌هایی را برای اجرا در نظر بگیرید که با لیست مجاز از پیش تعریف شده مطابقت دارند. اگر امکان استفاده از لیست مجاز نیست، می‌توان وروردی‌ها را به گونه‌ای تنظیم کرد که حاوی متا کاراکترهایی مانند ()$ نباشند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-21488