一、基本情况
Node.js是一个开源、跨平台的 JavaScript 运行时环境。
二、漏洞描述
Node.js 19.x、18.x、16.x 和 14.x 多个版本中由于权限控制不当,可以通过使用 process.mainModule.require()绕过Node.js权限策略并访问未授权的模块。该漏洞仅影响使用--experimental-policy 启用实验权限选项的用户。
三、影响范围
Node.js版本< 19.6.1
Node.js版本< 18.14.1
Node.js版本< 16.19.1
Node.js版本< 14.21.3
四、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Node.js版本>= 19.6.1
Node.js版本>= 18.14.1
Node.js版本>= 16.19.1
Node.js版本>= 14.21.3
