「Node.js」にコマンドインジェクションの脆弱性 - Windows環境に影響

「Node.js」の開発チームは、現地時間4月10日に脆弱性を修正するセキュリティアップデートをリリースした。

今回のアップデートは、脆弱性1件を修正するアップデート。当初同月9日のリリースを予定していたが、翌10日にずれ込んだ。前週4月3日にもアップデートをリリースしているが、異なる脆弱性を修正しており注意が必要。

今回修正された「CVE-2024-27980」は、Windows環境が影響を受けるコマンドインジェクションの脆弱性。シェルオプションを有効化していない場合でも、コマンドラインの引数を細工することで任意のコマンドを挿入し、実行することが可能だという。

開発チームでは、同脆弱性の重要度を4段階中、上から2番目にあたる「高（High）」とレーティングした。

開発チームでは、「Node.js 21.7.3」「同20.12.2」「同18.20.2」にて同脆弱性を修正。利用者にアップデートを呼びかけている。

（Security NEXT - 2024/04/11 ） ツイート

PR

関連記事

Gitサーバ「Gogs」にRCE脆弱性 - 過去の修正不備に起因
「Chrome 138」を公開 - 11件のセキュリティ修正
被爆者健康手帳交付申請の関連決裁文書を紛失 - 和歌山県
サイト掲載ファイルに個人情報、墨塗りするも参照可能 - 大鰐町
供覧で業務資料が所在不明に、誤廃棄か - 沖縄県
一部ユーザーで不正ログイン被害、他利用者情報にもアクセス - 雑誌ネット書店
「WinRAR」にディレクトリトラバーサルの脆弱性 - 修正版を公開
サーバ管理ツール「Convoy」に深刻な脆弱性 - アップデートがリリース
ブラウザ「MS Edge」に関する脆弱性2件を解消 - MS
Dellのストレージ製品「PowerScale OneFS」に深刻な脆弱性