Katalog CVE

CVE-2025-55130

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.63%

Percentyl 73 - wyżej niż 73% wszystkich znanych CVE

Streszczenie

Podatność w modelu uprawnień Node.js umożliwia ominięcie ograniczeń `--allow-fs-read` i `--allow-fs-write` poprzez użycie spreparowanych względnych ścieżek dowiązań symbolicznych. Łącząc katalogi i dowiązania, skrypt z dostępem tylko do bieżącego katalogu może uciec z dozwolonej ścieżki i odczytać wrażliwe pliki.

Ocena ryzyka

Ryzyko polega na naruszeniu izolacji obiecanej przez model uprawnień, co może prowadzić do nieautoryzowanego odczytu i zapisu plików, a w konsekwencji do przejęcia systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację Node.js do wersji zawierającej poprawkę (np. v20.x.y, v22.x.y, v24.x.y, v25.x.y z łatką) oraz ograniczenie użycia modelu uprawnień w środowiskach produkcyjnych do czasu wdrożenia aktualizacji.

Oryginalny opis (angielski, źródło NVD)

A flaw in Node.js’s Permissions model allows attackers to bypass `--allow-fs-read` and `--allow-fs-write` restrictions using crafted relative symlink paths. By chaining directories and symlinks, a script granted access only to the current directory can escape the allowed path and read sensitive files. This breaks the expected isolation guarantees and enables arbitrary file read/write, leading to potential system compromise. This vulnerability affects users of the permission model on Node.js v20, v22, v24, and v25.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS