Se han publicado actualizaciones de seguridad en Node.js, un conocido software de código abierto para la ejecución de códigos Javascript. Las actualizaciones resuelven varias vulnerabilidades, incluidas 2 de severidad «crítica».
Las vulnerabilidades fueron identificadas como:
De Severidad Alta:
- CVE-2024-21892, debido a un error en la implementación de esta excepción, Node.js la aplica incorrectamente incluso cuando se han configurado otras capacidades.
- CVE-2024-22019, debido a que el servidor lee una cantidad de bytes de una única conexión, aprovechando la falta de limitaciones en los bytes de extensión.
- CVE-2024-21896, se debe que al parchear los componentes internos del Buffer, la aplicación puede modificar el resultado de path.resolver().
- CVE-2024- 22017, permitiría realizar operaciones privilegiadas a pesar de haber perdido dichos privilegios mediante una llamada a setuid().
De Severidad Media:
- CVE-2024-46809, los atacantes podrían explotar de forma remota la vulnerabilidad para descifrar textos cifrados RSA.
- CVE-2024-21891, podría depender de múltiples funciones de utilidad integradas para normalizar las rutas proporcionadas a las funciones de node:fs.
- CVE-2024-21890, tiene una vulnerabilidad de manejo inapropiado de wildcards, debido a que el permiso de Node.js no aclara en la documentación que los wildcards solo deben usarse como último carácter de la ruta de un archivo.
Productos y versiones afectados:
- 18.x
- 20.x
- 21.x
Recomendación:
- Se recomienda actualizar a las versiones más recientes, descargandolos desde el sitio web oficial: https://nodejs.org/en
Referencias:
https://nodejs.org/en/blog/vulnerability/february-2024-security-releases/