Node.js 安全发布：Windows 上通过 child?process.spawn 可能存在命令注入

安全更新现已发布

Node.js 18.x、20.x 和 21.x 版本线现已推出更新，以解决以下问题。

在 Windows 系统上，即使未启用 shell 选项，通过 child_process.spawn 的参数仍可能存在命令注入风险（CVE-2024-27980） - （高风险）

由于 child_process.spawn / child_process.spawnSync 中处理批处理文件的方式不当，恶意命令行参数可以注入任意命令并执行代码，即使未启用 shell 选项也是如此。

影响范围：

此漏洞影响所有当前活动的发布线：18.x、20.x、21.x。感谢 ryotak 报告此漏洞，并感谢 Ben Noordhuis 解决了这一问题。

总结

Node.js 项目计划在 2024 年 4 月 9 日或之后，为 18.x、20.x、21.x 发布线推出新版本，以解决：

1 个高风险问题

Node.js 的 18.x 发布线受到 1 个高风险问题的影响。Node.js 的 20.x 发布线受到 1 个高风险问题的影响。Node.js 的 21.x 发布线受到 1 个高风险问题的影响。

发布时间

更新将于 2024 年 4 月 9 日或之后发布。

以上就是Node.js 安全发布：Windows 上通过 child_process.spawn 可能存在命令注入的详细内容，更多请关注电脑知识网其它相关文章！