CVE-2025-55130
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 73 - wyżej niż 73% wszystkich znanych CVE
Streszczenie
Podatność w modelu uprawnień Node.js umożliwia ominięcie ograniczeń `--allow-fs-read` i `--allow-fs-write` poprzez użycie spreparowanych względnych ścieżek dowiązań symbolicznych. Łącząc katalogi i dowiązania, skrypt z dostępem tylko do bieżącego katalogu może uciec z dozwolonej ścieżki i odczytać wrażliwe pliki.
Ocena ryzyka
Ryzyko polega na naruszeniu izolacji obiecanej przez model uprawnień, co może prowadzić do nieautoryzowanego odczytu i zapisu plików, a w konsekwencji do przejęcia systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację Node.js do wersji zawierającej poprawkę (np. v20.x.y, v22.x.y, v24.x.y, v25.x.y z łatką) oraz ograniczenie użycia modelu uprawnień w środowiskach produkcyjnych do czasu wdrożenia aktualizacji.
Oryginalny opis (angielski, źródło NVD)
A flaw in Node.js’s Permissions model allows attackers to bypass `--allow-fs-read` and `--allow-fs-write` restrictions using crafted relative symlink paths. By chaining directories and symlinks, a script granted access only to the current directory can escape the allowed path and read sensitive files. This breaks the expected isolation guarantees and enables arbitrary file read/write, leading to potential system compromise. This vulnerability affects users of the permission model on Node.js v20, v22, v24, and v25.

