| 漏洞类型 | 参数注入或修改 | 发现时间 | 2024-04-11 | 漏洞等级 | 严重 |
| MPS编号 | MPS-d5b7-omr9 | CVE编号 | CVE-2024-27980 | 漏洞影响广度 | 广 |
漏洞危害
| OSCS 描述 |
| Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境,用于构建快速、可扩展的网络应用程序。 Windows 的 CreateProcess() 函数在执行批处理文件(.bat、.cmd)时,,即使应用程序本身并没有在命令行中指定这些文件扩展名,仍会隐式地调用cmd.exe 进程。该风险在2011年已经在微软文档中提及,但仍存在多个语言实现不当。 由于Node.js 在处理 Windows 批处理文件时,未正确转义参数。攻击者可能利用该漏洞,通过传入恶意的命令行参数,使 child_process 模块在执行时不正确地处理参数,执行额外的系统命令。 非Windows环境或 Windows 上其他的命令执行方式不受影响。 参考链接:https://www.oscs1024.com/hd/MPS-d5b7-omr9 |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| node.js [18.0, 18.20.2) | 升级 | 将 Node.js 升级至 18.20.2 及以上版本 |
| node.js [21.0.0, 21.7.3) | 升级 | 将 Node.js 升级至 21.7.3 及以上版本 |
| node.js [20.0.0, 20.12.2) | 升级 | 将 Node.js 升级至 20.12.2 及以上版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-d5b7-omr9 | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-d5b7-omr9
https://nodejs.org/en/blog/vulnerability/april-2024-security-releases-2
https://flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/
