One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8397082 |
| Date de publication | 2023-10-18 04:15:11 (vue: 2023-10-18 05:11:15) |
| Titre | CVE-2023-39332 |
| Texte | Diverses fonctions `Node: FS` permettent de spécifier des chemins sous forme de chaînes ou d'objets` uint8array ».Dans les environnements Node.js, la classe «Buffer» étend la classe `uint8array».Node.js empêche la traversée de chemin à travers les chaînes (voir les objets CVE-2023-30584) et `Buffer` (voir CVE-2023-32004), mais pas via des objets non 'non' '' uint8array`.
Ceci est distinct de CVE-2023-32004 ([Rapport 2038134] (https://hackerone.com/reports/2038134)), qui ne se réfère qu'aux objets `buffer`.Cependant, la vulnérabilité suit le même modèle en utilisant «uint8array» au lieu de «tampon».
Impacts:
Cette vulnérabilité affecte tous les utilisateurs à l'aide du modèle d'autorisation expérimental dans Node.js 20.
Veuillez noter qu'au moment où ce CVE a été émis, le modèle d'autorisation est une caractéristique expérimentale de Node.js.
Various `node:fs` functions allow specifying paths as either strings or `Uint8Array` objects. In Node.js environments, the `Buffer` class extends the `Uint8Array` class. Node.js prevents path traversal through strings (see CVE-2023-30584) and `Buffer` objects (see CVE-2023-32004), but not through non-`Buffer` `Uint8Array` objects. This is distinct from CVE-2023-32004 ([report 2038134](https://hackerone.com/reports/2038134)), which only referred to `Buffer` objects. However, the vulnerability follows the same pattern using `Uint8Array` instead of `Buffer`. Impacts: This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js. |
| Envoyé | Oui |
| Condensat | 2023 2038134 30584 32004 39332 `buffer` `node:fs` `uint8array` affects all allow but class com/reports/2038134 cve distinct either environments experimental extends feature follows from functions however https://hackerone impacts: instead issued model node non not note objects only path paths pattern permission please prevents referred report same see specifying strings through time traversal users using various vulnerability which |
| Tags | Vulnerability |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.