CVE

Vulnerabilidad en Node.js (CVE-2023-30587)

Severidad:

ALTA

Type:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

07/09/2024

Última modificación:

09/09/2024

Descripción

Una vulnerabilidad en la versión 20 de Node.js permite eludir las restricciones establecidas por el indicador --experimental-permission mediante el módulo inspector integrado (node:inspector). Al explotar la capacidad de la clase Worker de crear un "trabajador interno" con el símbolo kIsInternal, los atacantes pueden modificar el valor isInternal cuando se adjunta un inspector dentro del constructor Worker antes de inicializar un nuevo WorkerImpl. Esta vulnerabilidad afecta exclusivamente a los usuarios de Node.js que emplean el mecanismo del modelo de permisos. Tenga en cuenta que en el momento en que se emitió esta CVE, el modelo de permisos era una característica experimental de Node.js.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Severidad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://nodejs.org/en/blog/vulnerability/june-2023-security-releases