Node.js Trust Falls: Разрешени... Заметка
RSS Zero Day Initiative - Блог

Node.js Trust Falls: Разрешение опасных модулей в Windows

В блоге подробно описывается уязвимость локального повышения привилегий, затрагивающая приложения Node.js в Windows, возникающая из-за механизма разрешения модулей. Node.js по умолчанию ищет модули в C:\node_modules, что позволяет злоумышленникам создавать этот каталог. Вредоносные модули, размещенные там, могут быть выполнены в контексте пользователя, запускающего приложение. Проблема возникает из-за позиции Node.js, "доверяющей файловой системе", считая это преднамеренным поведением. Эта халатность превращает необязательные зависимости в опасный вектор атаки. npm CLI и Discord демонстрируются как уязвимые, используя отсутствующие необязательные зависимости. Уязвимость npm CLI, CVE-2026-0775, использует отсутствующий пакет "bluebird". Discord, через CVE-2026-0776, уязвим из-за отсутствующей зависимости "utf-8-validate" и остается без патча. Эти уязвимости срабатывают при запуске приложений, без взаимодействия с пользователем. Node.js, npm и Discord не считают это действительной проблемой безопасности. Блог призывает исследователей изучить больше приложений на предмет аналогичных уязвимостей.
CdXz5zHNQW_YAmE6MusXD.jpeg