リモートホストにインストールされている Node.js のバージョンは、16.20.2、18.17.1、20.5.1より前のものです。したがって、2023 年 8 月 9 日のセキュリティリリースのアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - 権限ポリシーは、Module._load を介してバイパスされる可能性があります (CVE-2023-32002)

  - バッファのパストラバーサルシーケンスを指定することによる、権限モデルのバイパス (CVE-2023-32004)

  - process.binding() が、パストラバーサルを通じて権限モデルをバイパスする可能性があります (CVE-2023-32558)

  - 権限ポリシーが、module.constructor.createRequire() を使用する際に他のモジュールになりすます可能性があります (CVE-2023-32006)

  権限ポリシーは、process.binding を介してバイパスされる可能性があります (CVE-2023-32559)

  - fs.statfs は、権限モデルによって制限されているファイルから統計を取得する可能性があります (CVE-2023-32005)

  - fs.mkdtemp() および fs.mkdtempSync() に getValidatedPath() チェックがありません (CVE-2023-32003)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Node.js 16.x < 16.20.2 / 18.x < 18.17.1 / 20.x < 20.5.1 の複数の脆弱性 (2023 年 8 月 9 日水曜日のセキュリティリリース)。

critical Nessus プラグイン ID 179692

バージョン 1.2