Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en HackerOne (CVE-2024-21896)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/02/2024
Última modificación:
02/04/2025

Descripción

El modelo de permiso se protege contra ataques de path traversal llamando a path.resolve() en cualquier ruta proporcionada por el usuario. Si la ruta se va a tratar como un búfer, la implementación usa Buffer.from() para obtener un búfer a partir del resultado de path.resolve(). Al parchear los componentes internos del Buffer, es decir, Buffer.prototype.utf8Write, la aplicación puede modificar el resultado de path.resolve(), lo que conduce a una vulnerabilidad de path traversal. Esta vulnerabilidad afecta a todos los usuarios que utilizan el modelo de permiso experimental en Node.js 20 y Node.js 21. Tenga en cuenta que en el momento en que se emitió este CVE, el modelo de permiso es una característica experimental de Node.js.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* 20.0.0 (incluyendo) 20.11.1 (excluyendo)
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* 21.0.0 (incluyendo) 21.6.2 (excluyendo)