Vulnerabilidad en Node.js (CVE-2023-30582)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

07/09/2024

Última modificación:

09/09/2024

Descripción

Se ha identificado una vulnerabilidad en la versión 20 de Node.js que afecta a los usuarios del modelo de permisos experimental cuando se utiliza el indicador --allow-fs-read con un argumento distinto de *. Esta falla surge de un modelo de permisos inadecuado que no restringe la supervisión de archivos a través de la API fs.watchFile. Como resultado, los actores maliciosos pueden supervisar archivos a los que no tienen acceso de lectura explícito. Tenga en cuenta que en el momento en que se emitió esta CVE, el modelo de permisos es una característica experimental de Node.js.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://nodejs.org/en/blog/vulnerability/june-2023-security-releases