Vulnerabilidad en HackerOne (CVE-2024-21891)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
20/02/2024
Última modificación:
28/03/2025
Descripción
Node.js depende de múltiples funciones de utilidad integradas para normalizar las rutas proporcionadas a las funciones de node:fs, que pueden ser exageradas con implementaciones definidas por el usuario que conducen a la omisión del modelo de permisos del sistema de archivos mediante un ataque de path traversal. Esta vulnerabilidad afecta a todos los usuarios que utilizan el modelo de permiso experimental en Node.js 20 y Node.js 21. Tenga en cuenta que en el momento en que se emitió este CVE, el modelo de permiso es una característica experimental de Node.js.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* | 20.0.0 (incluyendo) | 20.11.1 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* | 21.0.0 (incluyendo) | 21.6.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/03/11/1
- https://hackerone.com/reports/2259914
- https://security.netapp.com/advisory/ntap-20240315-0005/
- http://www.openwall.com/lists/oss-security/2024/03/11/1
- https://hackerone.com/reports/2259914
- https://security.netapp.com/advisory/ntap-20240315-0005/