CVE-2023-38704import-in-the-middle — это перехватчик загрузки модулей, специально предназначенный для модулей ESM. Загрузчик import-in-the-middle работает путем генерации модуля-обертки на лету. Обертка использует спецификатор модуля для загрузки исходного модуля и добавления некоторого кода обертки. До версии 1.4.2 он допускает удаленное выполнение кода в случаях, когда приложение передает введенные пользователем данные непосредственно в функцию `import()`. Эта уязвимость была исправлена в import-in-the-middle версии 1.4.2.
Доступны некоторые обходные пути. Не передавайте никакие введенные пользователем данные в `import()`. Вместо этого проверьте их на соответствие набору разрешенных значений. Если вы используете import-in-the-middle, прямо или косвенно, и поддержка модулей EcmaScript не требуется, убедитесь, что никакие параметры не установлены либо через командную строку, либо через переменную среды `NODE_OPTIONS`, которые включили бы хуки загрузчика.