Vulnerabilidad en HackerOneNode.js (CVE-2025-23084)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

28/01/2025

Última modificación:

28/01/2025

Descripción

Se ha identificado una vulnerabilidad en Node.js que afecta específicamente a la gestión de nombres de unidades en el entorno Windows. Algunas funciones de Node.js no tratan los nombres de unidades como especiales en Windows. Como resultado, aunque Node.js asume una ruta relativa, en realidad hace referencia al directorio raíz. En Windows, una ruta que no comienza con el separador de archivos se trata como relativa al directorio actual. Esta vulnerabilidad afecta a los usuarios de Windows de la API `path.join`.

Impacto

Vector 3.x

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.60 MEDIA
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.60

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://nodejs.org/en/blog/vulnerability/january-2025-security-releases