Node.js setuid 权限管理不当漏洞 (CVE-2024-22017)

漏洞类型 权限管理不当 发现时间 2024-03-19 漏洞等级 高危
MPS编号 MPS-53sx-8oyz CVE编号 CVE-2024-22017 漏洞影响广度 广

漏洞危害

OSCS 描述
Node.js 是开源、跨平台的 JavaScript 运行时环境。io_uring是Linux内核提供的一种高性能异步I/O机制。
在受影响的版本中,由于libuv的io_uring支持存在安全漏洞。如果在调用setuid()之前使用高权限初始化了libuv的io_uring操作,则setuid()并不能真正撤销io_uring初始化时获得的高权限。攻击者可以利用该漏洞绕过setuid()函数的特权降级机制,利用高权限进行操作。
参考链接:https://www.oscs1024.com/hd/MPS-53sx-8oyz

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
node.js [21.0.0, 21.6.2) 升级 将 node.js 升级至 21.6.2 及以上版本
node.js [18.18.0, 18.19.1) 升级 将 node.js 升级至 18.19.1 及以上版本
node.js [20.4.0, 20.11.1) 升级 将 node.js 升级至 20.11.1 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-53sx-8oyz

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-53sx-8oyz

https://nvd.nist.gov/vuln/detail/CVE-2024-22017

https://hackerone.com/reports/2170226

https://github.com/nodejs/node/commit/42e659cb9d9425f76dbe9b57a437005508c0933d

(0)
上一篇 2024年3月25日 下午12:00
下一篇 2024年3月25日 下午12:00

相关推荐

  • Oracle WebLogic Server 存在远程代码执行漏洞 (CVE-2023-22089)

    漏洞类型 授权机制不恰当 发现时间 2023-10-18 漏洞等级 严重 MPS编号 MPS-2022-68674 CVE编号 CVE-2023-22089 漏洞影响广度 一般 漏洞危害 OSCS 描述 Oracle WebLogic Server是一个用于构建、部署和管理企业级Java应用程序。 Oracle WebLogic Server受影响版本存在远…

    2023年10月19日
    0
  • Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-49070)

    漏洞类型 反序列化 发现时间 2023-12-05 漏洞等级 严重 MPS编号 MPS-ope5-i4zj CVE编号 CVE-2023-49070 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。Apache XML-RPC 是 XML-RPC 的 Java 实现,XML-RPC 是一种使用 XML o…

    2023年12月6日
    0
  • Deno socket 会话数据污染漏洞 (CVE-2024-27935)

    漏洞类型 对错误会话暴露数据元素 发现时间 2024-03-21 漏洞等级 高危 MPS编号 MPS-4dbm-51vn CVE编号 CVE-2024-27935 漏洞影响广度 一般 漏洞危害 OSCS 描述 Deno 是开源的一个简单、现代且安全的 JavaScript 和 TypeScript 运行环境。 在 Deno 的 Node.js 兼容运行环境中…

    2024年3月25日
    0
  • 禅道项目管理系统身份认证绕过风险 (MPS-djcs-koe8)

    漏洞类型 身份验证不当 发现时间 2024-04-26 漏洞等级 高危 MPS编号 MPS-djcs-koe8 CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 禅道(ZenTao)项目管理系统是国产开源管理软件,提供整套工具来帮助团队管理整个软件开发生命周期,包括需求管理、迭代计划、任务分配、缺陷跟踪、文档管理和测试用例管理等功能。…

    漏洞 2024年4月26日
    0
  • Perl for Windows 任意代码执行漏洞 (CVE-2023-47039)

    漏洞类型 堆缓冲区溢出 发现时间 2024-01-03 漏洞等级 高危 MPS编号 MPS-drzf-wlk7 CVE编号 CVE-2023-47039 漏洞影响广度 一般 漏洞危害 OSCS 描述 Perl 是具有通用、解释型、跨平台性的编程语言。 Perl 受影响的Windows版本中,当运行一个使用 Windows Perl 解释器的可执行文件时,Pe…

    2024年1月3日
    0