Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Node.js」に複数脆弱性、8月のアップデートで修正

「Node.js」の開発チームは、現地時間8月9日にアップデートを公開し、複数の脆弱性を解消した。

同アップデートは、7件の脆弱性に対処したもの。いずれも実験的に提供されている機能に判明した脆弱性で重要度が「クリティカル(Critical)」とされる脆弱性は含まれていない。

重要度が2番目に高い「高(High)」とされる脆弱性は3件。パストラバーサルによりパーミッションモデルをバイパスできる「CVE-2023-32004」「CVE-2023-32558」や、パーミッションのポリシーをバイパスできる「CVE-2023-32002」が明らかとなった。

あわせて「中(Medium)」とされる脆弱性2件や「低(Low)」とされる2件が判明している。

開発チームでは、これら脆弱性に対処した「Node.js 20.5.1」「同18.17.1」「同16.20.2」を提供している。同アップデートで修正された脆弱性は以下のとおり。

CVE-2023-32002
CVE-2023-32004
CVE-2023-32558
CVE-2023-32006
CVE-2023-32559
CVE-2023-32005
CVE-2023-32003

(Security NEXT - 2023/08/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

ネットワーク監視ツール「LibreNMS」に脆弱性 - 「クリティカル」も
個情委、公金受取口座の誤登録問題でデジタル庁に行政指導
「SecHack365」の受講生情報含むPCが所在不明に - NICT
患者情報含むファイルがネット上で閲覧可能に - 日大板橋病院
住民票の誤交付問題で富士通Japanに行政指導 - 個情委
「iPhone」や「iPad」に3件のゼロデイ脆弱性 - アップデートを公開
サポート詐欺で職員宅PCが遠隔操作 - 厚生中央病院
Snatchランサムウェア、セーフモードでセキュリティ対策を回避
Atlassian、「Bitbucket」「Confluence」などの脆弱性を修正
「Drupal」にキャッシュ汚染の脆弱性 - 権限昇格のおそれ