Kritična greška Node.js omogućava napadačima da izvrše maliciozni kod na Windows mašinama

Projekat Node.js otkrio je ranjivost visoke ozbiljnosti koja utiče na više aktivnih linija izdanja njegovog softvera na Windows platformama.

Ova mana, identifikovana kao CVE-2024-27980, omogućava napadačima da izvršavaju proizvoljne komande na pogođenim sistemima, što predstavlja ozbiljan rizik za aplikacije i usluge izgrađene na Node.js.

Greška Node.js omogućava napadačima da izvrše maliciozni kod

Srž ranjivosti leži u child_process.spawni child_process.spawnSyncfunkcijama Node.js-a kada se koristi na Windows operativnim sistemima. Ove funkcije se obično koriste za pokretanje podređenih procesa iz Node.js aplikacija.

Greška je otkrivena u rukovanju batch datotekama i argumentima komandne linije proslijeđenim ovim funkcijama.

Konkretno, otkriveno je da maliciozno kreiran argument komandne linije može dovesti do ubrizgavanja naredbe i izvršavanja proizvoljnog koda, čak i ako shellopcija nije omogućena u pozivu funkcije.

Ova ranjivost je posebno alarmantna jer zaobilazi sigurnosni mehanizam koji se obezbjeđuje onemogućavanjem shellopcije, što se često preporučuje kao najbolja sigurnosna praksa.

Uticaj je široko rasprostranjen i pogađa sve korisnike 18.x, 20.x i 21.x izdanja Node.js na Windows-u.

Projekat Node.js je brzo reagovao kao odgovor na otkriće CVE-2024-27980. Objavljena su sigurnosna ažuriranja za ublažavanje problema za zahvaćene verzije: 18.x, 20.x i 21.x.

Ova ažuriranja su dostupna od utorka, 9. aprila 2024, a korisnici se pozivaju da odmah nadograde svoje Node.js instalacije kako bi zaštitili svoje aplikacije i infrastrukturu od potencijalne eksploatacije.

Istraživač sigurnosti Ryotak je zaslužan za otkrivanje ove ranjivosti, a Ben Noordhuis je implementirao ispravku. Node.js projekat je izrazio zahvalnost članovima zajednice na njihovom doprinosu u održavanju sigurnosti i integriteta platforme.

Preporuke za korisnike Node.js

U svjetlu ove kritične ranjivosti, korisnicima Node.js, posebno onima koji pokreću aplikacije na Windows-u, savjetuje se:

• Odmah ažurirajte : Nadogradite na najnovije zakrpljene verzije Node.js (18.x, 20.x, 21.x) da biste ublažili rizik koji predstavlja CVE-2024-27980.
• Pregledajte sigurnosne prakse : Ponovo procijenite upotrebu podređenih procesa unutar Node.js aplikacija, posebno u vezi sa rukovanjem eksternim unosom i argumentima komandne linije.
• Budite informisani : Pretplatite se na nodejs-sec mailing listu i redovno proveravajte zvaničnu Node.js bezbednosnu stranicu za ažuriranja o ranjivostima i bezbjednosnim izdanjima.

Izvor: CyberSecurityNews