Node.js child_process.spawn Windows命令注入漏洞(CVE-2024-27980)

北京赛克艾威科技有限公司 2024-04-12

  • 漏洞编号:CVE-2024-27980
  • 漏洞类型:命令注入
  • 漏洞等级:严重
  • 发布时间:2024-04-12

漏洞描述

近日,赛克艾威网络安全实验室监测到Node.js child_process.spawn Windows命令注入漏洞情报。由于Node.js 在处理 Windows 批处理文件时,未正确转义参数。攻击者可能利用该漏洞。

漏洞危害

攻击者可能利用该漏洞,通过传入恶意的命令行参数,使 child_process 模块在执行时不正确地处理参数,执行额外的系统命令。

影响版本

node.js@[20.0.0, 20.12.2)

node.js@[21.0.0, 21.7.3)

node.js@[18.0, 18.20.2)

修复建议

将 Node.js 升级至 21.7.3 及以上版本

将 Node.js 升级至 18.20.2 及以上版本

将 Node.js 升级至 20.12.2 及以上版本