Site icon Kiber.ba

Kritična greška Node.js omogućava napadačima da izvrše maliciozni kod na Windows mašinama

Kritična greška Node.js omogućava napadačima da izvrše zlonamjerni kod na Windows mašinama-Kiber.ba

Kritična greška Node.js omogućava napadačima da izvrše zlonamjerni kod na Windows mašinama-Kiber.ba

Projekat Node.js otkrio je ranjivost visoke ozbiljnosti koja utiče na više aktivnih linija izdanja njegovog softvera na Windows platformama.

Ova mana, identifikovana kao CVE-2024-27980, omogućava napadačima da izvršavaju proizvoljne komande na pogođenim sistemima, što predstavlja ozbiljan rizik za aplikacije i usluge izgrađene na Node.js.

Greška Node.js omogućava napadačima da izvrše maliciozni kod

Srž ranjivosti leži u child_process.spawnchild_process.spawnSyncfunkcijama Node.js-a kada se koristi na Windows operativnim sistemima. Ove funkcije se obično koriste za pokretanje podređenih procesa iz Node.js aplikacija.

Greška je otkrivena u rukovanju batch datotekama i argumentima komandne linije proslijeđenim ovim funkcijama.

Konkretno, otkriveno je da maliciozno kreiran argument komandne linije može dovesti do ubrizgavanja naredbe i izvršavanja proizvoljnog koda, čak i ako shellopcija nije omogućena u pozivu funkcije.

Ova ranjivost je posebno alarmantna jer zaobilazi sigurnosni mehanizam koji se obezbjeđuje onemogućavanjem shellopcije, što se često preporučuje kao najbolja sigurnosna praksa.

Uticaj je široko rasprostranjen i pogađa sve korisnike 18.x, 20.x i 21.x izdanja Node.js na Windows-u.

Projekat Node.js je brzo reagovao kao odgovor na otkriće CVE-2024-27980. Objavljena su sigurnosna ažuriranja za ublažavanje problema za zahvaćene verzije: 18.x, 20.x i 21.x.

Ova ažuriranja su dostupna od utorka, 9. aprila 2024, a korisnici se pozivaju da odmah nadograde svoje Node.js instalacije kako bi zaštitili svoje aplikacije i infrastrukturu od potencijalne eksploatacije.

Istraživač sigurnosti Ryotak je zaslužan za otkrivanje ove ranjivosti, a Ben Noordhuis je implementirao ispravku. Node.js projekat je izrazio zahvalnost članovima zajednice na njihovom doprinosu u održavanju sigurnosti i integriteta platforme.

Preporuke za korisnike Node.js

U svjetlu ove kritične ranjivosti, korisnicima Node.js, posebno onima koji pokreću aplikacije na Windows-u, savjetuje se:

Izvor: CyberSecurityNews

Exit mobile version