Node.js یک محیط اجرای جاوا اسکریپت back-end است که در موتور V8 اجرا شده و منجر به اجرای کد جاوا اسکریپت در خارج از مرورگر خواهد شد. اخیراً Node.js یک بهروزرسانیهای امنیتی برای وصله #آسیبپذیری use-after-free شدت بالا با شناسه CVE-2021-22930 منتشر کرد. این آسیبپذیری بر نحوه مدیریت درخواستهای HTTP2 تاثیر گذاشته و کلیه نسخههایx.16،x.14 وx.12 از Node.js را تحت تاثیر خود قرار میدهد. با توجه به اهمیت این آسیبپذیری توصیه میشود هرچه سریعتر نسبت به بهروزرسانی محصولات آسیبپذیر اقدام شود. نسخههای 16.6.0، 12.22.4 (LTS) و 14.17.4 (LTS) نسخههای حاوی وصله هستند. این نسخهها از لینکهای زیر قابل دریافت هستند:
https://nodejs.org/en/blog/release/v12.22.4/
https://nodejs.org/en/blog/release/v14.17.4/
https://nodejs.org/en/blog/release/v16.6.0/
بهرهبرداری از این آسیبپذیری میتواند منجر به اختلال در فرآیندها، ایجاد رفتارهای غیرمنتظره شامل خرابی برنامه و اجرای کد از راه دور شود.
در حال حاضر هیچگونه روشی جهت کاهش مخاطرات این آسیبپذیری منتشر نشده است.
لازم به ذکر است Red Hat شدت این آسیبپذیری را 9.1 تعیین کرده است. جهت دریافت اطلاعات بیشتر در مورد این آسیبپذیری به لینک زیر مراجعه کنید:
https://access.redhat.com/security/cve/CVE-2021-22930#cve-faq
منابع:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22930
https://www.ehackingnews.com/2021/08/nodejs-pushes-out-immediate-fixes-for.html
https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/
https://access.redhat.com/security/cve/CVE-2021-22930#cve-faq
- 45