Node.js child_process.spawn Windows命令注入漏洞 (CVE-2024-27980)

漏洞类型 参数注入或修改 发现时间 2024-04-11 漏洞等级 严重
MPS编号 MPS-d5b7-omr9 CVE编号 CVE-2024-27980 漏洞影响广度 广

漏洞危害

OSCS 描述
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境,用于构建快速、可扩展的网络应用程序。
Windows 的 CreateProcess() 函数在执行批处理文件(.bat、.cmd)时,,即使应用程序本身并没有在命令行中指定这些文件扩展名,仍会隐式地调用cmd.exe 进程。该风险在2011年已经在微软文档中提及,但仍存在多个语言实现不当。
由于Node.js 在处理 Windows 批处理文件时,未正确转义参数。攻击者可能利用该漏洞,通过传入恶意的命令行参数,使 child_process 模块在执行时不正确地处理参数,执行额外的系统命令。
非Windows环境或 Windows 上其他的命令执行方式不受影响。
参考链接:https://www.oscs1024.com/hd/MPS-d5b7-omr9

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
node.js [18.0, 18.20.2) 升级 将 Node.js 升级至 18.20.2 及以上版本
node.js [21.0.0, 21.7.3) 升级 将 Node.js 升级至 21.7.3 及以上版本
node.js [20.0.0, 20.12.2) 升级 将 Node.js 升级至 20.12.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-d5b7-omr9

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-d5b7-omr9

https://nodejs.org/en/blog/vulnerability/april-2024-security-releases-2

https://flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/

https://www.kb.cert.org/vuls/id/123335

https://nvd.nist.gov/vuln/detail/CVE-2024-27980

(0)
上一篇 2024年4月11日 下午10:00
下一篇 2024年4月15日

相关推荐

  • Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243绕过) (CVE-2024-22259)

    漏洞类型 SSRF 发现时间 2024-03-14 漏洞等级 高危 MPS编号 MPS-vhl4-ut8e CVE编号 CVE-2024-22259 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。 由…

    2024年3月15日
    0
  • PowerJob<=4.3.3 远程代码执行漏洞 (CVE-2023-37754)[有POC]

    漏洞类型 代码注入 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-ycmw-pl41 CVE编号 CVE-2023-37754 漏洞影响广度 一般 漏洞危害 OSCS 描述 PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 未对网关进行鉴权,4.3.3 及之前版本中,未经授权的攻击者可向 /instance/det…

    2023年8月11日
    0
  • Spring AMQP 反序列化漏洞 (CVE-2023-34050)

    漏洞类型 反序列化 发现时间 2023-10-18 漏洞等级 中危 MPS编号 MPS-1mr6-9hnw CVE编号 CVE-2023-34050 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring AMQP是将核心 Spring 概念应用于基于 AMQP 的消息传递解决方案的开发。 Spring AMQP中支持添加反序列化类名白名单,用于防止恶意类…

    2023年10月19日
    0
  • Windows Server NPS 远程代码执行漏洞 (MPS-56ge-38z4)

    漏洞类型 代码注入 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-56ge-38z4 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Windows Server 中的 Network Policy Server (NPS) 是一种网络访问控制器,用于限制用户和设备对网络资源的访问权限,其 IAS Extensi…

    2023年8月22日
    0
  • Apache Superset 授权检查错误漏洞 (CVE-2023-49734)

    漏洞类型 授权检查错误 发现时间 2023-12-19 漏洞等级 高危 MPS编号 MPS-i3j1-274p CVE编号 CVE-2023-49734 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Superset 是一个数据可视化和数据探索平台。 由于update_charts_owners方法的逻辑错误,拥有 Gamma 权限的用户可以创建…

    2023年12月21日
    0