远程主机上安装的 Node.js 版本低于 18.20.2、20.12.2、21.7.3。因此，该应用程序受到 2024 年 4 月 10 日星期三安全版本公告中提及的命令注入漏洞影响。这是程序未正确处理 child_process.spawn / child_process.spawnSync 中的批处理文件所导致，恶意命令行参数可注入任意命令，即使 shell 选项未启用也可实现代码执行。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Node.js 18.x < 18.20.2/20.x < 20.12.2/21.x < 21.7.3 命令注入漏洞（2024 年 4 月 10 日星期三安全版本）。

high Nessus 插件 ID 193573

版本 1.1

版本 1.0

版本 1.1 Apr 22, 2024, 1:40 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:U/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:U/RL:O/RC:C") Exploit attributes ("Exploit available" set to "False") Exploit attributes ("Exploitability ease" set to "No known exploits are available") Plugin Feed: 202404221340
版本 1.0 Apr 19, 2024, 4:41 PM New Plugin Feed: 202404191641