Node.js兩個高危漏洞預警

一、漏洞情況

近日，Node.js發布了安全更新，修復了Node.js中的多個安全漏洞，其中漏洞CVE-2021-22931、CVE-2021-22940為高危漏洞，攻擊者可利用這些漏洞執行跨站腳本攻擊、使應用程序崩潰（拒絕服務）、遠程執行惡意代碼和造成內存破壞。目前官方已修復該漏洞，建議受影響用戶及時更新至安全版本進行防護，并做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

Node.js是一個基于Chrome V8引擎的JavaScript運行環境，它使用高效、輕量級的事件驅動、非阻塞I/O模型。Node.js中的包管理器npm，是全球主流的開源庫生態系統。

1. CVE-2021-22931 遠程代碼執行漏洞

該漏洞源于Node.js DNS庫中的域名服務器對返回的主機名缺少輸入驗證，可導致錯誤的主機名輸出（導致域名劫持）和應用的注入漏洞，攻擊者可利用該漏洞實現遠程代碼執行、跨站腳本攻擊及造成應用崩潰。

2. CVE-2021-22940 釋放后重用漏洞

該漏洞源于釋放后重用，攻擊者可利用該漏洞造成內存破壞從而改變進程行為。該漏洞是因漏洞CVE-2021-22930未能完全修復而導致。

四、影響范圍

• Node.js 12.x < 12.22.5 (LTS)
• Node.js 14.x < 14.17.5 (LTS)
• Node.js 16.x < 16.6.2 (Current)

五、安全建議

建議受影響用戶及時升級更新到以下安全版本：

• Node.js v12.22.5 (LTS)
• Node.js v14.17.5 (LTS)
• Node.js v16.6.2 (Current)

下載鏈接：

https://nodejs.org/en/download/

六、參考鏈接

• https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/
• https://nodejs.org/en/blog/release/v12.22.5/
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931