「Node.js」にセキュリティアップデート - 複数脆弱性を修正

「Node.js」の開発チームは、複数の脆弱性を解消したセキュリティアップデート「Node.js 22.4.1」「同20.15.1」「同18.20.4」をリリースした。

現地時間7月8日にセキュリティアドバイザリを公開。バージョンによって影響を受ける脆弱性は異なるが、CVEベースであわせて5件の脆弱性へ対処したことを明らかにしたもの。当初7月2日に公開が予定されていたが、2度の延期を経てリリースされた。

今回修正された脆弱性のなかでもっとも重要度が高い脆弱性は「CVE-2024-36138」。Windows環境に影響があり、4段階における重要度において、上から2番目にあたる「高（High）」とレーティングされている。

過去に判明した別名「BatBadBut」に関連する脆弱性「CVE-2024-27980」の修正が不十分でバイパスされるおそれがあることが判明した。

このほか、重要度が「中（Medium）」とされる「CVE-2024-22020」や、「低（Low）」とされる3件に対処した。今回修正された脆弱性は以下のとおり。

CVE-2024-22018
CVE-2024-22020
CVE-2024-27980
CVE-2024-36137
CVE-2024-37372

（Security NEXT - 2024/07/09 ） ツイート

PR

関連記事

Chromium系ブラウザは脆弱性悪用に警戒を - 米当局が注意喚起
「Chrome」にアップデート、脆弱性21件を修正 - 一部で悪用も
過去の不正アクセスが発覚、攻撃検知後の調査で判明 - コスモスイニシア
学生情報含むファイルを誤送信、参照元データの削除を失念 - 新潟大
システム開発の再委託先がサイバー攻撃被害 - モリテックスチール
ネットワーク機器経由で侵入、脆弱性突かれる - 日本コロムビア
「NVIDIA Jetson Linux」に複数脆弱性 - アップデートを公開
GIGABYTE製ユーティリティ「GCC」に脆弱性
「SonicWall Email Security」に複数脆弱性 - アップデートを呼びかけ
「MLflow」にOSコマンドインジェクションの脆弱性 - 権限昇格のおそれ