Использование `Module._load()` может обойти механизм политики и потребовать модули вне определения policy.json для данного модуля. Эта уязв…
Использование `Module._load()` может обойти механизм политики и потребовать модули вне определения policy.json для данного модуля. Эта уязвимость затрагивает всех пользователей, использующих экспериментальный механизм политики во всех активных версиях: 16.x, 18.x и 20.x. Обратите внимание, что на момент выпуска этого CVE политика является экспериментальной функцией Node.js.
Предусмотренная функциональность продукта раскрывает информацию определённым субъектам в соответствии с политикой безопасности разработчика, однако эта информация считается конфиденциальной согласно политикам безопасности других заинтересованных сторон — администраторов продукта, пользователей или иных лиц, чьи данные обрабатываются.
https://cwe.mitre.org/data/definitions/213.html →Открыть в коллекции CWE →Продукт требует аутентификации, однако имеет альтернативный путь или канал, не требующий аутентификации.
https://cwe.mitre.org/data/definitions/288.html →Открыть в коллекции CWE →Злоумышленник формирует запрос к цели, в результате которого та выводит/индексирует содержимое каталога. Один из распространённых методов получения содержимого каталога в виде вывода состоит в формировании запроса, содержащего путь, оканчивающийся именем каталога, а не именем файла, поскольку многие приложения настроены на вывод списка содержимого каталога при получении такого запроса. Злоумышленник может использовать это для изучения структуры каталогов цели, а также для получения имён файлов. Это нередко позволяет обнаружить тестовые файлы, резервные копии, временные файлы, скрытые файлы, конфигурационные файлы, учётные записи пользователей, содержимое сценариев, а также соглашения об именовании — всё это злоумышленник может использовать для проведения дальнейших атак.
https://capec.mitre.org/data/definitions/127.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| node | Отслеживается | |
| node-devel | Отслеживается | |
| node-doc | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается |