安全更新現(xiàn)已發(fā)布

Node.JS 18.x、20.x 和 21.x 版本線現(xiàn)已推出更新，以解決以下問(wèn)題。

在 Windows 系統(tǒng)上，即使未啟用 shell 選項(xiàng)，通過(guò) child_process.spawn 的參數(shù)仍可能存在命令注入風(fēng)險(xiǎn)（CVE-2024-27980） – （高風(fēng)險(xiǎn)）

由于 child_process.spawn / child_process.spawnSync 中處理批處理文件的方式不當(dāng)，惡意命令行參數(shù)可以注入任意命令并執(zhí)行代碼，即使未啟用 shell 選項(xiàng)也是如此。

影響范圍：

此漏洞影響所有當(dāng)前活動(dòng)的發(fā)布線：18.x、20.x、21.x。感謝 ryotak 報(bào)告此漏洞，并感謝 Ben Noordhuis 解決了這一問(wèn)題。

總結(jié)

Node.js 項(xiàng)目計(jì)劃在 2024 年 4 月 9 日或之后，為 18.x、20.x、21.x 發(fā)布線推出新版本，以解決：

1 個(gè)高風(fēng)險(xiǎn)問(wèn)題

Node.js 的 18.x 發(fā)布線受到 1 個(gè)高風(fēng)險(xiǎn)問(wèn)題的影響。Node.js 的 20.x 發(fā)布線受到 1 個(gè)高風(fēng)險(xiǎn)問(wèn)題的影響。Node.js 的 21.x 發(fā)布線受到 1 個(gè)高風(fēng)險(xiǎn)問(wèn)題的影響。

發(fā)布時(shí)間

更新將于 2024 年 4 月 9 日或之后發(fā)布。