Vulnerabilidad en HackerOne (CVE-2024-21892)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
20/02/2024
Última modificación:
13/03/2025
Descripción
En Linux, Node.js ignora ciertas variables de entorno si pueden haber sido configuradas por un usuario sin privilegios mientras el proceso se ejecuta con privilegios elevados con la única excepción de CAP_NET_BIND_SERVICE. Debido a un error en la implementación de esta excepción, Node.js aplica incorrectamente esta excepción incluso cuando se han configurado otras capacidades. Esto permite a los usuarios sin privilegios inyectar código que hereda los privilegios elevados del proceso.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* | 18.0.0 (incluyendo) | 18.19.1 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* | 20.0.0 (incluyendo) | 20.11.1 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* | 21.0.0 (incluyendo) | 21.6.2 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/03/11/1
- https://hackerone.com/reports/2237545
- https://security.netapp.com/advisory/ntap-20240322-0003/
- http://www.openwall.com/lists/oss-security/2024/03/11/1
- https://hackerone.com/reports/2237545
- https://security.netapp.com/advisory/ntap-20240322-0003/