Node.js Trust Falls: Разрешение опасных модулей в Windows
В блоге подробно описывается уязвимость локального повышения привилегий, затрагивающая приложения Node.js в Windows, возникающая из-за механизма разрешения модулей. Node.js по умолчанию ищет модули в C:\node_modules, что позволяет злоумышленникам создавать этот каталог. Вредоносные модули, размещенные там, могут быть выполнены в контексте пользователя, запускающего приложение. Проблема возникает из-за позиции Node.js, "доверяющей файловой системе", считая это преднамеренным поведением. Эта халатность превращает необязательные зависимости в опасный вектор атаки. npm CLI и Discord демонстрируются как уязвимые, используя отсутствующие необязательные зависимости. Уязвимость npm CLI, CVE-2026-0775, использует отсутствующий пакет "bluebird". Discord, через CVE-2026-0776, уязвим из-за отсутствующей зависимости "utf-8-validate" и остается без патча. Эти уязвимости срабатывают при запуске приложений, без взаимодействия с пользователем. Node.js, npm и Discord не считают это действительной проблемой безопасности. Блог призывает исследователей изучить больше приложений на предмет аналогичных уязвимостей.
C:\node_modules, что позволяет злоумышленникам создавать этот каталог. Вредоносные модули, размещенные там, могут быть выполнены в контексте пользователя, запускающего приложение. Проблема возникает из-за позиции Node.js, "доверяющей файловой системе", считая это преднамеренным поведением. Эта халатность превращает необязательные зависимости в опасный вектор атаки. npm CLI и Discord демонстрируются как уязвимые, используя отсутствующие необязательные зависимости. Уязвимость npm CLI, CVE-2026-0775, использует отсутствующий пакет "bluebird". Discord, через CVE-2026-0776, уязвим из-за отсутствующей зависимости "utf-8-validate" и остается без патча. Эти уязвимости срабатывают при запуске приложений, без взаимодействия с пользователем. Node.js, npm и Discord не считают это действительной проблемой безопасности. Блог призывает исследователей изучить больше приложений на предмет аналогичных уязвимостей.