【漏洞预警】NodeBB 远程代码执行漏洞CVE-2023-26045

漏洞描述:

NodeBB 是基于 Node.js 的开源论坛系统。受影响版本中由于使用对象解构赋值语法解析用户导出路径,并且未对导出路径进行过滤,攻击者可构造恶意负载调用用户导出逻辑,在目标服务器中执行任意javascript文件。

影响范围:
nodebb[2.5.0, 2.8.7)

修复方案:
升级nodebb到 2.8.7 或更高版本
官方已发布补丁:https://github.com/NodeBB/NodeBB/commit/ec58700f6dff8e5b4af1544f6205ec362b593092

参考链接:
https://github.com/NodeBB/NodeBB/security/advisories/GHSA-vh2g-6c4x-5hmp

https://github.com/NodeBB/NodeBB/commit/ec58700f6dff8e5b4af1544f6205ec362b593092

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐