Una falla crítica de Node.js permite a los atacantes ejecutar código malicioso en máquinas con Windows
El proyecto Node.js reveló una vulnerabilidad de alta gravedad que afecta a múltiples líneas de lanzamiento activas de su software en plataformas Windows.
Esta falla, identificada como CVE-2024-27980, permite a los atacantes ejecutar comandos arbitrarios en los sistemas afectados, lo que representa un riesgo grave para las aplicaciones y servicios creados en Node.js.
La falla de Node.js permite a los atacantes ejecutar código malicioso
El núcleo de la vulnerabilidad radica en las child_process.spawn
funciones child_process.spawnSync
de Node.js cuando se utiliza en sistemas operativos Windows. Estas funciones se utilizan comúnmente para generar procesos secundarios desde aplicaciones Node.js.
La falla se descubrió en el manejo de archivos por lotes y argumentos de línea de comandos pasados a estas funciones.
Específicamente, se descubrió que un argumento de línea de comandos creado con fines malintencionados podría provocar la inyección de comandos y la ejecución de código arbitrario, incluso si la shell
opción no está habilitada en la llamada a la función.
Esta vulnerabilidad es particularmente alarmante porque pasa por alto el mecanismo de seguridad proporcionado al desactivar la shell
opción, que a menudo se recomienda como una de las mejores prácticas de seguridad.
El impacto es generalizado y afecta a todos los usuarios de las líneas de versión 18.x, 20.x y 21.x de Node.js en Windows.
El proyecto Node.js ha actuado con rapidez en respuesta al descubrimiento de CVE-2024-27980. Se han publicado actualizaciones de seguridad para mitigar el problema para las versiones afectadas: 18.x, 20.x y 21.x.
Estas actualizaciones están disponibles a partir del martes 9 de abril de 2024 y se recomienda encarecidamente a los usuarios que actualicen sus instalaciones de Node.js de inmediato para proteger sus aplicaciones e infraestructura de una posible explotación.
Al investigador de seguridad Ryotak se le atribuyó el descubrimiento de esta vulnerabilidad y Ben Noordhuis implementó la solución. El proyecto Node.js ha expresado su gratitud a los miembros de la comunidad por sus contribuciones para mantener la seguridad e integridad de la plataforma.
Recomendaciones para usuarios de Node.js
A la luz de esta vulnerabilidad crítica, se recomienda a los usuarios de Node.js, especialmente aquellos que ejecutan aplicaciones en Windows:
- Actualizar inmediatamente : actualice a las últimas versiones parcheadas de Node.js (18.x, 20.x, 21.x) para mitigar el riesgo que representa CVE-2024-27980.
- Revisar las prácticas de seguridad : reevaluar el uso de procesos secundarios dentro de las aplicaciones Node.js, especialmente en relación con el manejo de entradas externas y argumentos de línea de comandos.
- Manténgase informado : suscríbase a la lista de correo de nodejs-sec y consulte periódicamente la página de seguridad oficial de Node.js para obtener actualizaciones sobre vulnerabilidades y versiones de seguridad.
0 comentarios:
Publicar un comentario