Node.js遠程代碼執行漏洞（CVE-2021-22930）預警

一、漏洞情況

近日，Node.js發布安全更新，修復了Node.js中的一個釋放后使用 (Use-After-Free)漏洞，漏洞CVE編號：CVE-2021-22930。攻擊者可利用該漏洞執行遠程代碼攻擊，最終獲取服務器控制權。建議受影響用戶盡快更新至安全版本進行防護，并做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

Node.js是一套建立在Google V8 JavaScript引擎之上的網絡應用平臺。主要用于構建高度可伸縮的應用程序，以及編寫能夠處理數萬條且同時連接到一個物理機的連接代碼。

該漏洞是由于Neo4j組件使用不安全的類庫，當Neo4j組件開啟shell服務時，攻擊者可利用該漏洞在未授權的情況下，構造惡意數據執行遠程代碼攻擊，最終獲取服務器控制權。

四、影響范圍

16.x、14.x和12.x發行版的所有版本

五、安全建議

目前廠商已修復該漏洞，建議及時更新至Node.js v12.22.4 (LTS)或v14.17.4 (LTS)或v16.6.0 (Current)版本。

下載鏈接：

• https://nodejs.org/en/blog/release/v12.22.4/
• https://nodejs.org/en/blog/release/v14.17.4/
• https://nodejs.org/en/blog/release/v16.6.0/

六、參考鏈接

• https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/
• https://www.bleepingcomputer.com/news/security/nodejs-fixes-severe-http-bug-that-could-let-attackers-crash-apps/
• https://github.com/nodejs/node/pull/39527/commits/ba2ac7bb47406815c98366c5a591053414a1daf3#diff-33f026e43570112875cf4c8eab6743496f3aa014329611128e348ec23d6f771cR2165