Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en child_process.spawn / child_process.spawnSync (CVE-2024-27980)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
09/01/2025
Última modificación:
09/01/2025

Descripción

Debido al gestión inadecuado de archivos por lotes en child_process.spawn / child_process.spawnSync, un argumento de línea de comandos malicioso puede inyectar comandos arbitrarios y lograr la ejecución de código incluso si la opción de shell no está habilitada.