Node.js多个漏洞安全风险通告

2022年3月29日，嘉诚安全监测到CVE官方发布了Node.js多个漏洞的安全风险通告，漏洞编号为：CVE-2022-21824、CVE-2021-44532。

Node.js是基于Chrome JavaScrip运行时建立的一个平台，实际上它是对Google Chrome V8引擎进行了封装，它主要用于创建快速的、可扩展的网络应用。Node.js采用事件驱动和非阻塞I/O模型，使其变得轻微和高效，非常适合构建运行在分布式设备的数据密集型实时应用。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

Node.js原型链污染漏洞(CVE-2022-21824)：

由于console.table()函数的格式逻辑问题，允许用户控制的参数能够传递给properties属性，同时将具有至少一个属性的普通对象作为第一个参数，这将造成原型链污染，但具有很大限制，因为它只允许将空字符串分配给对象的prototype属性。

Node.js字符串注入漏洞(CVE-2021-44532)：

在Node.js中，将SAMs转换为字符串格式。当在证书链中使用名称约束时，字符串格式受到注入漏洞，并允许绕过名称约束。

影响版本

通用修复建议：

根据影响版本中的信息，排查并升级到安全版本。

相关链接请参考：

https://nvd.nist.gov/vuln/detail/CVE-2022-21824