CWE-1268БазаЧерновик
Привилегии политики непоследовательно назначены между управляющими и информационными агентами
Аппаратное управление доступом к определённому ресурсу в продукте некорректно учитывает различия привилегий между политиками управления и записи.
Открыть в каталоге с фильтром CWE →Связанные уязвимости
CVE-2023-32004Уязвимость была обнаружена в Node.js версии 20, конкретно в экспериментальной модели разрешений. Этот недостаток связан с неправильной обработкой буферов в API файловой системы, что вызывает обход пути при проверке разрешений на файловую систему.
Эта уязвимость затрагивает всех пользователей, использующих экспериментальную модель разрешений в Node.js 20.
Обратите внимание, что на момент выпуска этого CVE модель разрешений является экспериментальной функцией Node.js.
CVE-2023-32005Уязвимость была выявлена в Node.js версии 20, затрагивающая пользователей экспериментальной модели разрешений, когда флаг --allow-fs-read используется с не-* аргументом.
Этот недостаток возник из-за недостаточной модели разрешений, которая не ограничивает статистику файлов через API `fs.statfs`. В результате злонамеренные акторы могут получать статистику из файлов, к которым у них нет явного доступа для чтения.
Эта уязвимость затрагивает всех пользователей, использующих экспериментальную модель разрешений в Node.js 20.
Обратите внимание, что на момент выпуска этого CVE модель разрешений является экспериментальной функцией Node.js.