CVE

Vulnerabilidad en Node.js (CVE-2023-30584)

Severidad:

ALTA

Type:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

07/09/2024

Última modificación:

09/09/2024

Descripción

Se ha descubierto una vulnerabilidad en la versión 20 de Node.js, específicamente en el modelo de permisos experimental. Esta falla está relacionada con el manejo inadecuado de la omisión de la ruta de acceso al verificar los permisos de los archivos. Tenga en cuenta que, en el momento en que se emitió esta CVE, el modelo de permisos era una característica experimental de Node.js.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.70 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.70

Severidad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://nodejs.org/en/blog/vulnerability/june-2023-security-releases