Node-doc
Уязвимости
31
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.77385
Распределение по критичности
Критический
2
Высокий
14
Средний
14
Низкий
1
Также сопоставлено как (исходные строки): node-doc
Топ уязвимостей
CVE-2023-32002Использование `Module._load()` может обойти механизм политики и потребовать модули вне определения policy.json для данного модуля.
Эта уязвимость затрагивает всех пользователей, использующих экспериментальный механизм политики во всех активных версиях: 16.x, 18.x и 20.x.
Обратите внимание, что на момент выпуска этого CVE политика является экспериментальной функцией Node.js.
CVE-2021-22930Node.js версий до 16.6.0, 14.17.4 и 12.22.4 уязвим для атаки use after free, когда злоумышленник может воспользоваться повреждением памяти, чтобы изменить поведение процесса.
CVE-2020-10531Проблема обнаружена в International Components for Unicode (ICU) для C/C++ до версии 66.1. Переполнение целого числа, приводящее к переполнению буфера на основе кучи, существует в функции UnicodeString::doAppend() в common/unistr.cpp.
CVE-2024-27980Из-за неправильной обработки пакетных файлов в child_process.spawn / child_process.spawnSync вредоносный аргумент командной строки может внедрять произвольные команды и добиваться выполнения кода, даже если параметр shell не включен.
CVE-2020-8252Реализация realpath в libuv < 10.22.1, < 12.18.4 и < 14.9.0, используемая в Node.js, неправильно определяла размер буфера, что может привести к переполнению буфера, если разрешенный путь длиннее 256 байт.
CVE-2023-30581Использование __proto__ в process.mainModule.__proto__.require() может обойти механизм политики и потребовать модули за пределами определения policy.json. Эта уязвимость затрагивает всех пользователей, использующих экспериментальный механизм политики во всех активных ветках выпуска: v16, v18 и v20.
Обратите внимание, что на момент выпуска этого CVE политика является экспериментальной функцией Node.js.
CVE-2023-23918Уязвимость повышения привилегий существует в Node.js <19.6.1, <18.14.1, <16.19.1 и <14.21.3, которая позволила обойти экспериментальную функцию разрешений (https://nodejs.org/api/permissions.html) в Node.js и получить доступ к неавторизованным модулям с помощью process.mainModule.require(). Это затрагивает только тех пользователей, которые включили экспериментальную опцию разрешений с помощью --experimental-policy.
CVE-2022-43548В Node.js версий <14.21.1, <16.18.1, <18.12.1, <19.0.1 существует уязвимость внедрения команд ОС из-за недостаточной проверки IsAllowedHost, которую легко обойти, потому что IsIPAddress неправильно проверяет, является ли IP-адрес недействительным, прежде чем отправлять запросы DBS, что позволяет проводить атаки с повторной привязкой. Исправление этой проблемы в https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32212 было неполным, и это новое CVE предназначено для завершения исправления.
CVE-2022-32212В версиях Node.js <14.20.0, <16.20.0, <18.5.0 существует уязвимость OS Command Injection из-за недостаточной проверки IsAllowedHost, которую легко обойти, потому что IsIPAddress неправильно проверяет, является ли IP-адрес недействительным, прежде чем делать запросы DBS, что позволяет выполнять атаки повторной привязки.
CVE-2021-22883Node.js до версий 10.24.0, 12.21.0, 14.16.0 и 15.10.0 уязвим для атак типа "отказ в обслуживании", когда устанавливается слишком много попыток соединения с 'unknownProtocol'. Это приводит к утечке файловых дескрипторов. Если в системе настроено ограничение на количество файловых дескрипторов, то сервер не сможет принимать новые соединения и предотвращать открытие процессом, например, файла. Если ограничение на количество файловых дескрипторов не настроено, это приведет к чрезмерному использованию памяти и вызовет нехватку памяти в системе.
CVE-2017-14919Node.js версий до 4.8.5, 6.x до 6.11.5 и 8.x до 8.8.0 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (неперехваченное исключение и сбой) путем использования изменения в модуле zlib 1.2.9, делающего 8 недопустимым значением для параметра windowBits.
CVE-2017-11499Node.js v4.0 - v4.8.3, все версии v5.x, v6.0 - v6.11.0, v7.0 - v7.10.0 и v8.0 - v8.1.3 были восприимчивы к удаленным DoS-атакам с заполнением хеша, поскольку seed HashTable был постоянным для данной выпущенной версии Node.js. Это было результатом сборки со включенными по умолчанию моментальными снимками V8, что приводило к перезаписи первоначально случайного seed при запуске.
CVE-2015-8855Пакет semver до 4.3.2 для Node.js позволяет злоумышленникам вызвать отказ в обслуживании (потребление ЦП) через длинную строку версии, также известную как "отказ в обслуживании регулярного выражения (ReDoS)".
CVE-2021-44531Принятие произвольных типов Subject Alternative Name (SAN), если PKI специально не определен для использования определенного типа SAN, может привести к обходу промежуточных звеньев с ограничением по имени. Node.js < 12.22.9, < 14.18.3, < 16.13.2 и < 17.3.1 принимали типы URI SAN, которые PKI часто не определяет для использования. Кроме того, когда протокол разрешал URI SAN, Node.js неправильно сопоставлял URI. Версии Node.js с исправлением для этого отключают тип URI SAN при проверке сертификата на соответствие имени хоста. Это поведение можно отменить с помощью параметра командной строки --security-revert.
CVE-2020-8201Node.js < 12.18.4 и < 14.11 можно использовать для выполнения HTTP desync-атак и доставки вредоносных полезных нагрузок ничего не подозревающим пользователям. Полезные нагрузки могут быть созданы злоумышленником для перехвата пользовательских сеансов, отравления файлов cookie, выполнения кликджекинга и множества других атак в зависимости от архитектуры базовой системы. Атака стала возможной из-за ошибки в обработке символов возврата каретки в именах HTTP-заголовков.
CVE-2018-12120Node.js: Все версии до Node.js 6.15.0: Порт отладчика 5858 прослушивает любой интерфейс по умолчанию: Когда отладчик включен с помощью `node --debug` или `node debug`, он прослушивает порт 5858 на всех интерфейсах по умолчанию. Это может позволить удаленным компьютерам подключаться к порту отладки и оценивать произвольный JavaScript. Интерфейс по умолчанию теперь localhost. Всегда можно было запустить отладчик на определенном интерфейсе, например `node --debug=localhost`. Отладчик был удален в Node.js 8 и заменен инспектором, поэтому ни одна из версий 8 и более поздних не является уязвимой.
CVE-2025-22150Undici — это клиент HTTP/1.1. Начиная с версии 4.5.0 и до версий 5.28.5, 6.21.1 и 7.2.3, undici использует `Math.random()` для выбора границы для multipart/form-data запроса. Известно, что выходные данные `Math.random()` можно предсказать, если известно несколько сгенерированных значений. Если в приложении есть механизм, который отправляет multipart запросы на веб-сайт, контролируемый злоумышленником, они могут использовать его для раскрытия необходимых значений. Следовательно, злоумышленник может подделать запросы, отправляемые в серверные API, при соблюдении определенных условий. Это исправлено в версиях 5.28.5, 6.21.1 и 7.2.3. В качестве обходного пути не отправляйте multipart запросы на серверы, контролируемые злоумышленником.
CVE-2022-32214Парсер llhttp <v14.20.1, <v16.17.1 и <v18.9.1 в модуле http в Node.js не строго использует последовательность CRLF для разделения HTTP-запросов. Это может привести к HTTP Request Smuggling (HRS).
CVE-2019-9511Некоторые реализации HTTP/2 уязвимы для манипулирования размером окна и манипулирования приоритетами потоков, что потенциально приводит к отказу в обслуживании. Злоумышленник запрашивает большой объем данных из указанного ресурса по нескольким потокам. Они манипулируют размером окна и приоритетом потока, чтобы заставить сервер ставить данные в очередь блоками по 1 байту. В зависимости от того, насколько эффективно эти данные ставятся в очередь, это может потреблять избыточные ресурсы ЦП, памяти или и то, и другое.
CVE-2017-1000381Функцию c-ares `ares_parse_naptr_reply()`, которая используется для анализа ответов NAPTR, можно заставить читать память за пределами заданного входного буфера, если переданный пакет DNS-ответа был создан определенным образом.
CVE-2016-5172Парсер в Google V8, используемый в Google Chrome версий до 53.0.2785.113, неправильно обрабатывает области видимости, что позволяет удаленным злоумышленникам получать конфиденциальную информацию из произвольных мест памяти через специально созданный код JavaScript.
CVE-2024-27982Команда выявила критическую уязвимость в http-сервере самой последней версии Node, где неправильно сформированные заголовки могут привести к HTTP-контрабанде запросов. В частности, если перед заголовком content-length поставить пробел, он не будет интерпретирован правильно, что позволит злоумышленникам провезти второй запрос в теле первого.
CVE-2021-22959В accepts парсер запрашивает пробел (SP) сразу после имени заголовка перед двоеточием. Это может привести к HTTP Request Smuggling (HRS) в llhttp < v2.1.4 и < v6.0.6.
CVE-2023-46809Версии Node.js, которые объединяют неисправленную версию OpenSSL или запускаются для динамически связанной версии OpenSSL, которые не исправлены, уязвимы для атаки Marvin - https://people.redhat.com/~hkario/marvin/, если разрешено заполнение PCKS #1 v1.5 при выполнении RSA-дескрипции с использованием закрытого ключа.
CVE-2019-15604Неправильная проверка сертификата в Node.js 10, 12 и 13 приводит к прерыванию процесса при отправке созданного сертификата X.509.