More

    Kritična greška Node.js omogućava napadačima da izvrše maliciozni kod na Windows mašinama

    Đorđe
    By Đorđe
    Novosti

    Projekat Node.js otkrio je ranjivost visoke ozbiljnosti koja utiče na više aktivnih linija izdanja njegovog softvera na Windows platformama.

    Ova mana, identifikovana kao CVE-2024-27980, omogućava napadačima da izvršavaju proizvoljne komande na pogođenim sistemima, što predstavlja ozbiljan rizik za aplikacije i usluge izgrađene na Node.js.

    Greška Node.js omogućava napadačima da izvrše maliciozni kod

    Srž ranjivosti leži u child_process.spawnchild_process.spawnSyncfunkcijama Node.js-a kada se koristi na Windows operativnim sistemima. Ove funkcije se obično koriste za pokretanje podređenih procesa iz Node.js aplikacija.

    Greška je otkrivena u rukovanju batch datotekama i argumentima komandne linije proslijeđenim ovim funkcijama.

    Konkretno, otkriveno je da maliciozno kreiran argument komandne linije može dovesti do ubrizgavanja naredbe i izvršavanja proizvoljnog koda, čak i ako shellopcija nije omogućena u pozivu funkcije.

    Ova ranjivost je posebno alarmantna jer zaobilazi sigurnosni mehanizam koji se obezbjeđuje onemogućavanjem shellopcije, što se često preporučuje kao najbolja sigurnosna praksa.

    Uticaj je široko rasprostranjen i pogađa sve korisnike 18.x, 20.x i 21.x izdanja Node.js na Windows-u.

    Projekat Node.js je brzo reagovao kao odgovor na otkriće CVE-2024-27980. Objavljena su sigurnosna ažuriranja za ublažavanje problema za zahvaćene verzije: 18.x, 20.x i 21.x.

    Ova ažuriranja su dostupna od utorka, 9. aprila 2024, a korisnici se pozivaju da odmah nadograde svoje Node.js instalacije kako bi zaštitili svoje aplikacije i infrastrukturu od potencijalne eksploatacije.

    Istraživač sigurnosti Ryotak je zaslužan za otkrivanje ove ranjivosti, a Ben Noordhuis je implementirao ispravku. Node.js projekat je izrazio zahvalnost članovima zajednice na njihovom doprinosu u održavanju sigurnosti i integriteta platforme.

    Preporuke za korisnike Node.js

    U svjetlu ove kritične ranjivosti, korisnicima Node.js, posebno onima koji pokreću aplikacije na Windows-u, savjetuje se:

    • Odmah ažurirajte : Nadogradite na najnovije zakrpljene verzije Node.js (18.x, 20.x, 21.x) da biste ublažili rizik koji predstavlja CVE-2024-27980.
    • Pregledajte sigurnosne prakse : Ponovo procijenite upotrebu podređenih procesa unutar Node.js aplikacija, posebno u vezi sa rukovanjem eksternim unosom i argumentima komandne linije.
    • Budite informisani : Pretplatite se na nodejs-sec mailing listu i redovno proveravajte zvaničnu Node.js bezbednosnu stranicu za ažuriranja o ranjivostima i bezbjednosnim izdanjima.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories

    Novosti

    Sophos kupuje Secureworks za 859 miliona dolara

    Novosti

    Firma za kriptovalute Transak pogođena nakon hakovanja laptopa zaposlenog

    Novosti

    VMware izdaje ažuriranje vCenter servera da popravi kritičnu ranjivost RCE-a

    Novosti

    Vodič: Ultimate Pentest Checklist za full-stack sigurnost

    Novosti

    Novi AI alat za otkrivanje 0-dana u velikom obimu klikom na dugme

    Novosti

    Internet arhiva ponovo provaljena, hakeri su iskoristili nerotirane API tokene

    OSTAVI ODGOVOR

    Molimo unesite komentar!
    Ovdje unesite svoje ime

    © Copyright - Kiber.ba