CVE ID(CVE-2023-39332)
CVE編號:CVE-2023-39332
安全級別:嚴重
發布日期:2023-10-27
詳細介紹
1.漏洞描述
各種node:fs函數允許將路徑指定為字符串或Uint8Array對象。在Node.js環境中,Buffer類擴展了Uint8Array類。Node.js阻止路徑遍歷字符串(請參見CVE-2023-30584)和Buffer對象(請參見CVT-2023-32004),但不阻止路徑遍歷非Buffer Uint8Array對象。這與CVE-2023-32004(報告2038134)不同,后者僅引用Buffer對象。然而,該漏洞遵循使用Uint8Array而不是Buffer的相同模式。影響:該漏洞影響所有使用Node.js 20中實驗性權限模型的用戶。請注意,在發布此CVE時,權限模型是Node.js的實驗性功能。
2.影響產品(系統版本 是否受影響)
銀河麒麟高級服務器操作系統 V10 SP1 不影響
銀河麒麟高級服務器操作系統 V10 SP2 不影響
銀河麒麟高級服務器操作系統 V10 SP3 不影響
銀河麒麟高級服務器操作系統(Host版)V10 不影響
銀河麒麟高級服務器操作系統 V10 HPC 不影響
銀河麒麟云底座操作系統 V10 不影響
3.漏洞評分( 漏洞編號 危害程度 CVSS 3.1 評分 漏洞類型)
CVE-2023-39332 嚴重 7.5 其他
漏洞評分向量:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
4.修復方案
無需修復