Node.js任意代码执行漏洞（CVE-2023-30585）-信息中心

网络安全

当前位置: 部门首页 >> 网络安全 >> 正文

Node.js任意代码执行漏洞（CVE-2023-30585）

日期： 2024-01-25 作者： nsfocus 点击数:

发布日期：2023-11-27

更新日期：2024-01-25

受影响系统：

Node.js Node.js >= 20.0.0

Node.js Node.js >= 18.0.0

Node.js Node.js >= 16.0.0

Node.js Node.js < 20.3.1

Node.js Node.js < 18.16.1

Node.js Node.js < 16.20.1

描述：

CVE(CAN) ID: CVE-2023-30585

Node.js是一个开源、跨平台的JavaScript运行时环境。

Node.js 16.0.0至16.20.1之前版本、18.0.0至18.16.1之前版本、20.0.0至20.3.1之前版本的安装进程存在任意代码执行漏洞，该漏洞源于%USERPROFILE%环境变量映射的路径不存在，攻击者可利用该漏洞在任意位置创建任意文件夹。

< *链接：https://nodejs.org/en/blog/vulnerability/june-2023-security-releases

建议：

厂商补丁：

Node.js

-------

Node.js已经为此发布了一个安全公告（20-June-2023）以及相应补丁:

20-June-2023：Tuesday June 20 2023 Security Releases

链接：https://nodejs.org/en/blog/vulnerability/june-2023-security-releases

浏览次数：83

严重程度：0（网友投票）