Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en process.mainModule.__proto__.require() (CVE-2023-30581)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/11/2023
Última modificación:
05/06/2025

Descripción

El uso de __proto__ en process.mainModule.__proto__.require() puede omitir el mecanismo de políticas y requerir módulos fuera de la definición de policy.json. Esta vulnerabilidad afecta a todos los usuarios que utilizan el mecanismo de política experimental en todas las líneas de lanzamiento activas: v16, v18 y v20. Tenga en cuenta que en el momento en que se emitió este CVE, la política era una característica experimental de Node.js.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* 16.0.0 (incluyendo) 16.20.1 (excluyendo)
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* 18.0.0 (incluyendo) 18.16.1 (excluyendo)
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* 20.0.0 (incluyendo) 20.3.1 (excluyendo)