漏洞标题
N/A
漏洞描述信息
使用过时的API `process.binding()`可以通过路径遍历绕过权限模型。
此漏洞影响所有在Node.js 20.x中使用实验权限模型的用户使用。
请注意,在发布此CVE之前,权限模型是Node.js的一个实验功能。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
N/A
漏洞描述信息
The use of the deprecated API `process.binding()` can bypass the permission model through path traversal.
This vulnerability affects all users using the experimental permission model in Node.js 20.x.
Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Node.js 路径遍历漏洞
漏洞描述信息
Node.js是一个开源、跨平台的 JavaScript 运行时环境。 Node.js 20版本存在安全漏洞,该漏洞源于允许攻击者使用API process.binding()通过路径遍历绕过权限模型。
CVSS信息
N/A
漏洞类别
路径遍历