Node.js 项目已发布更新,以解决多个安全漏洞,其中包括一个可允许攻击者绕过 Worker 权限的高严重性漏洞。
该漏洞被追踪为 CVE-2025-23083,影响 Node.js 20、22 和 23 版本。该漏洞存在于 diagnostics_channel 实用程序中,可用于挂钩事件,包括工作线程创建。利用这一漏洞,可能会在未经授权的情况下访问敏感数据或资源。
除了工人权限绕过漏洞外,更新还修补了两个中等严重性漏洞:
- CVE-2025-23084: 在 Windows 环境中通过驱动器名称进行路径遍历。该漏洞可让攻击者访问预定目录之外的文件。
- CVE-2025-23085:HTTP/2 服务器中的内存泄漏问题。利用此漏洞可导致拒绝服务 (DoS) 情况。
该更新还突出显示了已到期的 Node.js 版本中的漏洞:
- CVE-2025-23087: Node.js v17.x 或更早版本
- CVE-2025-23088: Node.js v19.x
- CVE-2025-23089: Node.js v21.x
更新已针对 23.x、22.x、20.x 和 18.x Node.js 发布线发布。敦促用户尽快更新其 Node.js 安装,以缓解这些漏洞。
- Node.js v18.20.6
- Node.js v20.18.2
- Node.js v22.13.1
- Node.js v23.6.1
发表评论
您还未登录,请先登录。
登录