Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Node.js (CVE-2023-30587)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
07/09/2024
Última modificación:
09/09/2024

Descripción

Una vulnerabilidad en la versión 20 de Node.js permite eludir las restricciones establecidas por el indicador --experimental-permission mediante el módulo inspector integrado (node:inspector). Al explotar la capacidad de la clase Worker de crear un "trabajador interno" con el símbolo kIsInternal, los atacantes pueden modificar el valor isInternal cuando se adjunta un inspector dentro del constructor Worker antes de inicializar un nuevo WorkerImpl. Esta vulnerabilidad afecta exclusivamente a los usuarios de Node.js que emplean el mecanismo del modelo de permisos. Tenga en cuenta que en el momento en que se emitió esta CVE, el modelo de permisos era una característica experimental de Node.js.

Referencias a soluciones, herramientas e información