Vulnerabilidad en Node.js (CVE-2023-30587)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
07/09/2024
Última modificación:
09/09/2024
Descripción
Una vulnerabilidad en la versión 20 de Node.js permite eludir las restricciones establecidas por el indicador --experimental-permission mediante el módulo inspector integrado (node:inspector). Al explotar la capacidad de la clase Worker de crear un "trabajador interno" con el símbolo kIsInternal, los atacantes pueden modificar el valor isInternal cuando se adjunta un inspector dentro del constructor Worker antes de inicializar un nuevo WorkerImpl. Esta vulnerabilidad afecta exclusivamente a los usuarios de Node.js que emplean el mecanismo del modelo de permisos. Tenga en cuenta que en el momento en que se emitió esta CVE, el modelo de permisos era una característica experimental de Node.js.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA