Node.js安全警报：Windowschild_process.spawn命令注入风险

Node.js 已发布安全更新，修复了 Windows 系统上 child_process.spawn 存在的命令注入风险（CVE-2024-27980）。此高风险漏洞影响所有当前活动的发布线，包括 18.x、20.x 和 21.x 版本。更新将于 2024 年 4 月 9 日或之后推出，感谢 ryotak 报告此问题并感谢 Ben Noordhuis 解决该漏洞。

安全更新现已发布

Node.js 18.x、20.x 和 21.x 版本线现已推出更新，以解决以下问题。

在 Windows 系统上，即使未启用 shell 选项，通过 child_process.spawn 的参数仍可能存在命令注入风险（CVE-2024-27980） - （高风险）

由于 child_process.spawn / child_process.spawnSync 中处理批处理文件的方式不当，恶意命令行参数可以注入任意命令并执行代码，即使未启用 shell 选项也是如此。

影响范围：

此漏洞影响所有当前活动的发布线：18.x、20.x、21.x。感谢 ryotak 报告此漏洞，并感谢 Ben Noordhuis 解决了这一问题。

总结

Node.js 项目计划在 2024 年 4 月 9 日或之后，为 18.x、20.x、21.x 发布线推出新版本，以解决：

1 个高风险问题

Node.js 的 18.x 发布线受到 1 个高风险问题的影响。Node.js 的 20.x 发布线受到 1 个高风险问题的影响。Node.js 的 21.x 发布线受到 1 个高风险问题的影响。

发布时间

更新将于 2024 年 4 月 9 日或之后发布。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。