検出

Node.js 18.x< 18.20.4/ 20.x< 20.15.1/ 22.x< 22.4.1複数の脆弱性 (2024 年 7 月 8 日月曜日のセキュリティリリース)。

critical Nessus プラグイン ID 201969

Language:

概要

Node.js - JavaScript Runtime Environment は複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Node.js のバージョンは、18.20.4、20.15.1、22.4.1より前のものです。したがって、2024 年 7 月 8 日のセキュリティリリースのアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - CVE-2024-27980 は、BatBadBut の脆弱性の不完全な修正として識別されました。この脆弱性は、child_process.spawn / child_process.spawnSync を介した、Windows 上の考えられるすべての拡張子のバッチファイルが不適切に処理されると発生します。シェルオプションが有効でなくても、悪意のあるコマンドライン引数が任意のコマンドを注入してコードを実行する可能性があります。この脆弱性は、Windows のすべてのアクティブなリリースラインの child_process.spawn と child_process.spawnSync のすべてのユーザーに影響します。
 この脆弱性を報告してくれた tianst 氏に、および修正してくれた RafaelGSS 氏に感謝の意を表します。
 (CVE-2024-27980)

 - Node.js のセキュリティの欠陥により、ネットワークインポート制限のバイパスが可能になります。ネットワーク以外のインポートをデータ URL に埋め込むことによって、攻撃者が任意のコードを実行し、システムのセキュリティを危険にさらす可能性があります。この脆弱性はさまざまなプラットフォームで検証されており、ネットワークインポートでデータ URL を禁止することで緩和されています。この欠陥を悪用すると、ネットワークインポートセキュリティに違反し、開発者とサーバーにリスクをもたらす可能性があります。この脆弱性を報告してくれた dittyroma 氏に、および修正してくれた RafaelGSS 氏に感謝の意を表します。(CVE-2024-22020)

 - Node.js で脆弱性が特定され、--allow-fs-write フラグが使用されると、実験的なアクセス許可モデルのユーザーに影響を与えます。Node.js アクセス許可モデルはファイル記述子では動作しませんが、fs.fchown や fs.fchmod などの操作では、読み取り専用ファイル記述子を使用して、ファイルの所有者と権限を変更することができます。この脆弱性は、Node.js 20 および Node.js 22 で実験的なアクセス許可モデルを使用しているすべてのユーザーに影響を与えます。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。この脆弱性を報告してくれた 4xpl0r3r 氏に、および修正してくれた RafaelGSS 氏に感謝の意を表します。(CVE-2024-36137)

 - Node.js で脆弱性が特定され、--allow-fs-read フラグが使用されると、実験的なアクセス許可モデルのユーザーに影響を与えます。この欠陥は、fs.lstat API を通じてファイル統計を制限できないという、不十分なアクセス許可モデルに起因しています。その結果、悪意のある攻撃者は、明示的な読み取りアクセス権がないファイルから統計情報を取得できる可能性があります。この脆弱性は、Node.js 20 および Node.js 22 で実験的なアクセス許可モデルを使用しているすべてのユーザーに影響を与えます。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。この脆弱性を報告してくれた haxatron1 氏に、および修正してくれた RafaelGSS 氏に感謝の意を表します。(CVE-2024-22018)

 - アクセス許可モデルは、2 つのバックスラッシュ「\」で始まるパスには無視できる 4 文字のプレフィックスがあると想定していますが、これは必ずしもそうなるとは限りません。この小さなバグが脆弱なエッジケースにつながります。この脆弱性は、バージョン v22.x および v20.x の Node.js アクセス許可モデルの Windows ユーザーに影響を与えます。影響:
 この脆弱性を報告してくれた tniessen 氏に、および修正してくれた RafaelGSS 氏に感謝の意を表します。
 (CVE-2024-37372)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Node.js のバージョンを 18.20.4/20.15.1/22.4.1 以降にアップグレードしてください。

参考資料

https://nodejs.org/en/blog/vulnerability/july-2024-security-releases/

プラグインの詳細

深刻度: Critical

ID: 201969

ファイル名: nodejs_2024_jul_08.nasl

バージョン: 1.3

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2024/7/8

更新日: 2024/7/12

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.3

CVSS v2

リスクファクター: High

基本値: 9

現状値: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:C

CVSS スコアのソース: CVE-2024-22020

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2024-27980

脆弱性情報

CPE: cpe:/a:nodejs:node.js

必要な KB アイテム: installed_sw/Node.js

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/7/8

脆弱性公開日: 2024/4/10

参照情報

CVE: CVE-2024-22018, CVE-2024-22020, CVE-2024-27980, CVE-2024-36137, CVE-2024-37372

IAVB: 2024-B-0039-S, 2024-B-0083