Vulnerabilidad en process.mainModule.__proto__.require() (CVE-2023-30581)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/11/2023
Última modificación:
05/06/2025
Descripción
El uso de __proto__ en process.mainModule.__proto__.require() puede omitir el mecanismo de políticas y requerir módulos fuera de la definición de policy.json. Esta vulnerabilidad afecta a todos los usuarios que utilizan el mecanismo de política experimental en todas las líneas de lanzamiento activas: v16, v18 y v20. Tenga en cuenta que en el momento en que se emitió este CVE, la política era una característica experimental de Node.js.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* | 16.0.0 (incluyendo) | 16.20.1 (excluyendo) |
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* | 18.0.0 (incluyendo) | 18.16.1 (excluyendo) |
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* | 20.0.0 (incluyendo) | 20.3.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página