一、 漏洞 CVE-2023-32003 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
`fs.mkdtemp()` 和 `fs.mkdtempSync()` 可以使用路径遍历攻击绕过权限模型检查。这个漏洞源于 fs.mkdtemp() API 中的缺少检查,影响是一名恶意 actor 可以创建任意目录。 这个漏洞对所有在 Node.js 20 中使用实验权限模型的所有用户造成影响。 请注意,在发布此 CVE 时,权限模型是 Node.js 的一个实验特性。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
`fs.mkdtemp()` and `fs.mkdtempSync()` can be used to bypass the permission model check using a path traversal attack. This flaw arises from a missing check in the fs.mkdtemp() API and the impact is a malicious actor could create an arbitrary directory. This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Node.js 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Node.js是一个开源、跨平台的 JavaScript 运行时环境。 Node.js 20版本存在安全漏洞,该漏洞源于API中缺少对函数getValidatedPath()的检查,导致存在路径遍历漏洞。攻击者可利用该漏洞创建任意目录。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-32003 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-32003 的情报信息