发布时间:2021-08-18 19:57:11,来源:北京奇虎科技有限公司、启明星辰信息技术集团股份有限公司
近日,Node.js发布了安全更新,修复了Node.js中的多个安全漏洞,其中漏洞CVE-2021-22931、CVE-2021-22940为高危漏洞,攻击者可利用这些漏洞执行跨站脚本攻击、使应用程序崩溃(拒绝服务)、远程执行恶意代码和造成内存破坏。目前官方已修复该漏洞,建议受影响用户及时更新至安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。
高危
Node.js是一个基于Chrome V8引擎的JavaScript运行环境,它使用高效、轻量级的事件驱动、非阻塞I/O模型。Node.js中的包管理器npm,是全球主流的开源库生态系统。
1. CVE-2021-22931 远程代码执行漏洞
该漏洞源于Node.js DNS库中的域名服务器对返回的主机名缺少输入验证,可导致错误的主机名输出(导致域名劫持)和应用的注入漏洞,攻击者可利用该漏洞实现远程代码执行、跨站脚本攻击及造成应用崩溃。
2. CVE-2021-22940 释放后重用漏洞
该漏洞源于释放后重用,攻击者可利用该漏洞造成内存破坏从而改变进程行为。该漏洞是因漏洞CVE-2021-22930未能完全修复而导致。
Node.js 12.x < 12.22.5 (LTS)
Node.js 14.x < 14.17.5 (LTS)
Node.js 16.x < 16.6.2 (Current)
建议受影响用户及时升级更新到以下安全版本:
Node.js v12.22.5 (LTS)
Node.js v14.17.5 (LTS)
Node.js v16.6.2 (Current)
下载链接:
https://nodejs.org/en/download/
https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/
https://nodejs.org/en/blog/release/v12.22.5/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931