1. 通告信息

近日，监测到Node.js官方发布更新公告，修复了一个权限绕过漏洞，漏洞编号：CVE-2023-23918，漏洞等级：高危。

对此，建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

漏洞名称：Node.js权限绕过漏洞

CVE编号：CVE-2023-23918

简述：Node.js 19.x、18.x、16.x 和 14.x 多个版本中由于权限控制不当，可以通过使用 process.mainModule.require()绕过Node.js权限策略并访问未授权的模块。该漏洞仅影响使用--experimental-policy 启用实验权限选项的用户。

3. 漏洞危害

Node.js是一个开源、跨平台的 java script 运行时环境。

该漏洞可能会泄露用户信息，系统信息等，攻击者可通过该漏洞进行更深入的攻击。

4. 影响版本

Node.js版本< 19.6.1

Node.js版本< 18.14.1

Node.js版本< 16.19.1

Node.js版本< 14.21.3

5. 解决方案

目前该漏洞已经修复，受影响用户可升级到以下版本：

Node.js版本>= 19.6.1

Node.js版本>= 18.14.1

Node.js版本>= 16.19.1

Node.js版本>= 14.21.3

下载链接：

https://nodejs.org/en/download/