一.漏洞描述
Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Javascript的速度非常快,性能非常好。Node.js对一些特殊用例进行了优化,提供了替代的API,使得V8在非浏览器环境下运行得更好。 Node.js反序列化远程代码执行漏洞,Node.js的node-serialize库中存在一个漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码(未信任数据)达到反序列化远程任意代码执行的效果。 二.漏洞危害攻击者可利用反序列化漏洞,通过构造Payload来实现远程攻击服务器来获得主机权限。
三.影响范围Node.js全版本。 四.漏洞PoCvar serialize = require('node-serialize'); var x ='{"rce":"_$$ND_FUNC$$_function(){console.log(\'exploited\')}()"}' serialize.unserialize(x);
PoC可用于进一步验证漏洞。 五.修复方案厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: https://github.com/luin/serialize
临时解决方案:
参考网址
|
注册
登录
