大工网安告[2023]011

一、情况分析

Node.js由Ryan Dahl开发，是一个基于Chrome V8引擎的JavaScript运行环境。Node.js提供了各种丰富的JavaScript模块库，用于搭建响应速度快、易于扩展的网络应用。近日，Node.js官方发布了安全公告，修复了一个存在于Node.js中的权限绕过漏洞（CVE-2023-23918），攻击者利用该漏洞可实现权限绕过。该漏洞由于Node.js对权限控制不当导致，恶意攻击者通过使用process.mainModule.require()绕过Node.js权限策略并访问未授权的模块。(只影响使用--experimental-policy启用实验权限的用户)

二、影响范围

·Node.js < 19.6.1

·Node.js < 18.14.1

·Node.js < 16.19.1

·Node.js < 14.21.3

三、处置建议

目前官方已修复该漏洞，受影响用户可以升级更新到安全版本。官方下载链接：https://nodejs.org/en/download/

参考链接：https://nodejs.org/en/blog/vulnerability/february-2023-security-releases/