Node.js child_process.spawn Windows命令注入漏洞 (CVE-2024-27980)

漏洞类型 参数注入或修改 发现时间 2024-04-11 漏洞等级 严重
MPS编号 MPS-d5b7-omr9 CVE编号 CVE-2024-27980 漏洞影响广度 广

漏洞危害

OSCS 描述
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境,用于构建快速、可扩展的网络应用程序。
Windows 的 CreateProcess() 函数在执行批处理文件(.bat、.cmd)时,,即使应用程序本身并没有在命令行中指定这些文件扩展名,仍会隐式地调用cmd.exe 进程。该风险在2011年已经在微软文档中提及,但仍存在多个语言实现不当。
由于Node.js 在处理 Windows 批处理文件时,未正确转义参数。攻击者可能利用该漏洞,通过传入恶意的命令行参数,使 child_process 模块在执行时不正确地处理参数,执行额外的系统命令。
非Windows环境或 Windows 上其他的命令执行方式不受影响。
参考链接:https://www.oscs1024.com/hd/MPS-d5b7-omr9

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
node.js [18.0, 18.20.2) 升级 将 Node.js 升级至 18.20.2 及以上版本
node.js [21.0.0, 21.7.3) 升级 将 Node.js 升级至 21.7.3 及以上版本
node.js [20.0.0, 20.12.2) 升级 将 Node.js 升级至 20.12.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-d5b7-omr9

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-d5b7-omr9

https://nodejs.org/en/blog/vulnerability/april-2024-security-releases-2

https://flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/

https://www.kb.cert.org/vuls/id/123335

https://nvd.nist.gov/vuln/detail/CVE-2024-27980

(0)
上一篇 2024年4月11日 下午10:00
下一篇 2024年4月15日

相关推荐

  • 禅道项目管理系统身份认证绕过风险 (MPS-djcs-koe8)

    漏洞类型 身份验证不当 发现时间 2024-04-26 漏洞等级 高危 MPS编号 MPS-djcs-koe8 CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 禅道(ZenTao)项目管理系统是国产开源管理软件,提供整套工具来帮助团队管理整个软件开发生命周期,包括需求管理、迭代计划、任务分配、缺陷跟踪、文档管理和测试用例管理等功能。…

    漏洞 2024年4月26日
    0
  • FFmpeg < 7.0 释放后使用漏洞 (CVE-2024-31578)

    漏洞类型 UAF 发现时间 2024-04-17 漏洞等级 高危 MPS编号 MPS-y94m-eo71 CVE编号 CVE-2024-31578 漏洞影响广度 一般 漏洞危害 OSCS 描述 FFmpeg 是处理多媒体内容的开源库和工具的集合。 FFmpeg < 7.0 版本中,由于av_hwframe_ctx_init函数中错误地假设frames_uni...

    漏洞 2024年4月22日
    0
  • Argo CD 存在 CSRF 漏洞 (CVE-2024-28175)

    漏洞类型 CSRF 发现时间 2024-03-14 漏洞等级 严重 MPS编号 MPS-foxv-68g9 CVE编号 CVE-2024-28175 漏洞影响广度 广 漏洞危害 OSCS 描述 Argo CD 是一个声明式的 GitOps 持续交付工具,用于在 Kubernetes 环境中进行应用程序的持续交付和部署管理。 受影响版本中,由于未对 argoc…

    2024年3月15日
    0
  • Apache Airflow 存在Kubernetes配置文件泄露风险 (CVE-2023-51702)

    漏洞类型 日志敏感信息泄露 发现时间 2024-01-24 漏洞等级 中危 MPS编号 MPS-9l6b-gqsm CVE编号 CVE-2023-51702 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Airflow 是一个开源的工作流自动化平台,Apache Airflow CNCF Kubernetes provider 是给 Airflo…

    2024年1月25日
    0
  • Apache InLong jdbc url敏感参数校验绕过漏洞 (CVE-2023-43668)

    漏洞类型 控制流实现总是不正确 发现时间 2023-10-16 漏洞等级 高危 MPS编号 MPS-v51a-l298 CVE编号 CVE-2023-43668 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的高性能数据集成框架,方便业务构建基于流式的数据分析、建模和应用。 由于在mysql jdbc 8.0.11和8.0.1…

    2023年10月17日
    0