В Node.js была обнаружена уязвимость, особенно затрагивающая обработку имен дисков в среде Windows. Некоторые функции Node.js не рассматривают имена дисков как особые в Windows. В результате, хотя Node.js предполагает относительный путь, на самом деле он ссылается на корневой каталог.
В Windows путь, который не начинается с разделителя файлов, рассматривается как относительный к текущему каталогу. Эта уязвимость затрагивает пользователей Windows, использующих API path.join.
Показать оригинальное описание (EN)
A vulnerability has been identified in Node.js, specifically affecting the handling of drive names in the Windows environment. Certain Node.js functions do not treat drive names as special on Windows. As a result, although Node.js assumes a relative path, it actually refers to the root directory. On Windows, a path that does not start with the file separator is treated as relative to the current directory. This vulnerability affects Windows users of `path.join` API.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 5
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nodejs Node.Js
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
|
18.0
|
18.20.6
|
|
Nodejs Node.Js
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
|
20.0
|
20.18.2
|
|
Nodejs Node.Js
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
|
22.0
|
22.13.1
|
|
Nodejs Node.Js
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:*
|
23.0
|
23.6.1
|
|
Microsoft Windows
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
|
— | — |