Node.js 18.x < 18.18.2 / 20.x < 20.8.1 多个漏洞(2023 年 10 月 13 日星期五安全版本)。

critical Nessus 插件 ID 183390

简介

Node.js - JavaScript 运行环境受到多个漏洞的影响。

描述

远程主机上安装的 Node.js 版本低于 18.18.2、20.8.1。因此,它受到 2023 年 10 月 13 日星期五安全版本公告中提及的多个漏洞影响。

- Undici 并不总是清除跨源重定向上的 Cookie 标头。根据设计,“Cookie”标头是禁止的请求标头,不允许在浏览器环境中的 RequestInit.headers 中设置它们。
Undici 在处理 HTTP 标头时比规范更自由,这导致了规范所假设的情况与 Undici 实现的获取方法之间出现了不一致。因此,这可能会导致 Cookie 意外泄漏到第三方网站,或者由于存在开放重定向器,攻击者可以利用这个漏洞使 Cookie 泄漏给第三方网站。更多详细信息请参见 GHSA-wqq4-5wpv-mx2g (CVE-2023-45143)

- 在无边界的情况下快速快速创建和取消流(HEADERS 帧后紧跟 RST_STREAM)会造成拒绝服务。有关详细信息,请参阅 https://www.cve.org/CVERecord?id=CVE-2023-44487。影响:
(CVE-2023-44487)

- 先前披露的漏洞 (CVE-2023-30584) 修补不充分。出现新的路径遍历漏洞的原因是该实现无法保护自身免受应用程序使用用户定义的实现覆盖内置实用函数的影响。影响:请注意,发布此 CVE 时,该权限模块是 Node.js 的一项实验性功能。感谢 Tobias Nieen 报告此问题并创建了安全补丁。(CVE-2023-39331)

- 各种节点:fs 函数允许将路径指定为字符串或 Uint8Array 对象。在 Node.js 环境中,Buffer 类扩展了 Uint8Array 类。Node.js 防止通过字符串(请参阅 CVE-2023-30584)和 Buffer 对象(请参阅 CVE-2023-32004)进行路径遍历,但不防止通过非 Buffer Uint8Array 对象进行路径遍历。这与 CVE-2023-32004(报告 2038134)不同,后者仅引用 Buffer 对象。然而,该漏洞遵循相同的模式,使用 Uint8Array 而不是 Buffer。影响:
请注意,发布此 CVE 时,该权限模块是 Node.js 的一项实验性功能。感谢 Tobias Nieen 报告此问题并创建了安全补丁。(CVE-2023-39332)

- 当 Node.js 策略功能根据可信清单检查资源的完整性时,应用程序可以拦截该操作并向节点的策略实现返回伪造的校验和,从而有效地禁用完整性检查。影响:请注意,发布此 CVE 时,该策略机制是 Node.js 的一项实验性功能。感谢 Tobias Nieen 报告此问题并创建了安全补丁。(CVE-2023-38552)

- 导入的 WebAssembly 模块中恶意制作的导出名称可以注入 JavaScript 代码。注入的代码可能能够访问 WebAssembly 模块本身无法访问的数据和函数,就像 WebAssembly 模块是一个 JavaScript 模块一样。影响:感谢 dittyroma 报告此漏洞,同时感谢 Tobias Nieen 修复此漏洞。(CVE-2023-39333)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Node.js 18.18.2 / 20.8.1 或更高版本。

另见

http://www.nessus.org/u?158127f8

插件详情

严重性: Critical

ID: 183390

文件名: nodejs_2023_oct.nasl

版本: 1.7

类型: local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2023/10/19

最近更新时间: 2024/2/23

配置: 启用全面检查

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.3

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2023-39332

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

漏洞信息

CPE: cpe:/a:nodejs:node.js

必需的 KB 项: installed_sw/Node.js

可利用: true

易利用性: Exploits are available

补丁发布日期: 2023/10/13

漏洞发布日期: 2023/10/10

CISA 已知可遭利用的漏洞到期日期: 2023/10/31

参考资料信息

CVE: CVE-2023-38552, CVE-2023-39331, CVE-2023-39332, CVE-2023-39333, CVE-2023-44487, CVE-2023-45143

IAVB: 2023-B-0083-S