Node.js child_process.spawn Windows命令注入漏洞-低调大师

Node.js child_process.spawn Windows命令注入漏洞

2024-04-12 380

漏洞描述

Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境，用于构建快速、可扩展的网络应用程序。

Windows 的 CreateProcess() 函数在执行批处理文件(.bat、.cmd)时，，即使应用程序本身并没有在命令行中指定这些文件扩展名，仍会隐式地调用cmd.exe 进程。该风险在2011年已经在微软文档中提及，但仍存在多个语言实现不当。

由于Node.js 在处理 Windows 批处理文件时，未正确转义参数。攻击者可能利用该漏洞，通过传入恶意的命令行参数，使 child_process 模块在执行时不正确地处理参数，执行额外的系统命令。

非Windows环境或 Windows 上其他的命令执行方式不受影响。

漏洞名称	Node.js child_process.spawn Windows命令注入漏洞
漏洞类型	参数注入或修改
发现时间	2024-04-11
漏洞影响广度	广
MPS编号	MPS-d5b7-omr9
CVE编号	CVE-2024-27980
CNVD编号	-

影响范围

node.js@[18.0, 18.20.2)

node.js@[21.0.0, 21.7.3)

node.js@[20.0.0, 20.12.2)

修复方案

将 Node.js 升级至 20.12.2 及以上版本

将 Node.js 升级至 18.20.2 及以上版本

将 Node.js 升级至 21.7.3 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-d5b7-omr9

https://www.kb.cert.org/vuls/id/123335

https://nvd.nist.gov/vuln/detail/CVE-2024-27980

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/287338

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

[紧急发布] 功能强大的开源数据中台系统 DataCap 2024.03.2 发布

推荐一套基于 SpringBoot 开发的简单、易用的开源权限管理平台，建议下载使用:https://github.com/devlive-community/authx 推荐一套为 Java 开发人员提供方便易用的 SDK 来与目前提供服务的的 Open AI 进行交互组件：https://github.com/devlive-community/openai-java-sdk DataCap 发布! 发布版本发布时间 2024.03.2 2024-04-12 紧急发布版本：由于发布前测试时，调用 API 失误，导致构建数据集功能无法使用，该版本主要用于修改构建数据集功能 Dataset 修复数据集无法构建问题 Env 修复 logo 路径引用错误问题 Docker 修复初始化脚本丢失字段问题推荐一套全平台数据库管理工具，建议下载使用:https://github.com/devlive-community/dbm 我们即将推出一套开源新系统。InfoSphere 是一款面向企业和个人的开源 Wiki 系统，旨在提供简单而强大的知识管理解决方案。建议尝试使用:https://gi...

2024-04-12

288

4月11日晚，百度董事长兼首席执行官李彦宏的内部讲话流出。在这次内部讲话中，李彦宏表示，创业者真正的优势应该是在某一个领域的知识、数据，大模型也一样，有领域知识才能提供独特价值，所以没有必要担心基础模型通吃AI的应用，另外，大模型开源意义不大，闭源才能走通商业模式。图片源自时报财经图库不用担心基础大模型会通吃AI应用在李彦宏看来，外界一些做模型的创业公司讲的所谓的“双轮驱动”不是一个好的模式，既做模型又做应用，势必会分散精力，创业公司的精力和资源都是有限的，同时做两件事情和只做一件事情哪个成功率更高不言自明。他认为，对于AI创业者来说，核心竞争力本不应该是模型本身，这太耗资源了，而且需要非常长时间的坚持才能跑出来。 “创业者真正的优势应该是在某一个领域的知识、数据，大模型如果有领域知识，就能靠领域知识提供独特价值。”李彦宏举例称，在移动时代，微信没有吃掉拼多多，滴滴也没有变成腾讯的一部分，它们都各自提供了自己独特的价值，有自己非常不一样的竞争力，它们的兴起都是依赖移动生态里的一个封闭平台——微信，但是它们并不怕微信去抢它的饭碗，所以没有必要担心基础模型通吃AI的应用。李彦宏...

2024-04-12

305

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。