「Node.js」に複数脆弱性、8月のアップデートで修正

「Node.js」の開発チームは、現地時間8月9日にアップデートを公開し、複数の脆弱性を解消した。

同アップデートは、7件の脆弱性に対処したもの。いずれも実験的に提供されている機能に判明した脆弱性で重要度が「クリティカル（Critical）」とされる脆弱性は含まれていない。

重要度が2番目に高い「高（High）」とされる脆弱性は3件。パストラバーサルによりパーミッションモデルをバイパスできる「CVE-2023-32004」「CVE-2023-32558」や、パーミッションのポリシーをバイパスできる「CVE-2023-32002」が明らかとなった。

あわせて「中（Medium）」とされる脆弱性2件や「低（Low）」とされる2件が判明している。

開発チームでは、これら脆弱性に対処した「Node.js 20.5.1」「同18.17.1」「同16.20.2」を提供している。同アップデートで修正された脆弱性は以下のとおり。

CVE-2023-32002
CVE-2023-32004
CVE-2023-32558
CVE-2023-32006
CVE-2023-32559
CVE-2023-32005
CVE-2023-32003

（Security NEXT - 2023/08/25 ） ツイート

PR

関連記事

「Tenable Identity Exposure」に脆弱性 - 2月の更新で修正済み
個人情報を6機関に誤送信、転送され規模が20倍超に - 岐阜県
報道記者が個人情報含む資料を一時紛失 - ABCテレビ
約40万件の個人情報が流出した可能性 - ニデック子会社
CrowdStrike導入したWindows端末の97％以上がオンラインに
Acronisのデータバックアップ用インフラ製品に深刻な脆弱性 - すでに悪用も
CrowdStrikeによる障害、約850万台に影響 - あらたな復旧方法も準備中
組込システムの検証テストツール「NI VeriStand」に複数脆弱性
SonicWall、「Blast-RADIUS」の緩和策でアドバイザリ
「Spring Cloud Data Flow」に深刻な脆弱性 - アップデートが公開