Amazon Linux 2023 : nodejs24、nodejs24-devel、nodejs24-full-i18n (ALAS2023-2026-1578)
high Nessus 插件 ID 306235
语言:
简介
远程 Amazon Linux 2023 主机缺少安全更新。描述
因此,该软件受到 ALAS2023-2026-1578 公告中提及的多个漏洞影响。Node.js HTTP 请求处理中的缺陷在收到带有名为 __proto__ 的标头的请求且应用程序访问 req.headersDistinct 时可造成未捕获类型错误。
发生这种情况时,dest[__proto__] 会解析为 Object.prototype,而非 undefined,从而导致在非数组中调用 .push()。此异常会在属性 getter 内同步抛出,并且无法被错误事件监听程序拦截,即若未将每个 req.headersDistinct 访问封装在 try/catch 中,便无法处理此异常。
此漏洞会影响 20.x、 22.x、 24.x和 v25.x 中的所有 Node.js HTTP 服务器
注意:https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#denial-of-service-via-__proto__-header-name-in-reqheadersdistinct-uncaught-typeerror-crashes-nodejs-process-cve-2026-21710---high (CVE-2026-21710)
Node.js URL 处理中的缺陷在使用包含无效字符的畸形国际化域名 (IDN) 调用 url.format() 时造成本机代码断言失败从而导致 Node.js 进程崩溃。
此漏洞影响 24.x 和 25.x。
注意:https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#assertion-error-in-node_urlcc-via-malformed-url-format-leads-to-nodejs-crash-cve-2026-21712---medium (CVE-2026-21712)
Node.js 中存在一个缺陷 HMAC 验证在验证用户提供的签名时使用非常量时间比较可能会泄露与匹配字节数成正比的计时信息。在某些可以进行高分辨率时序测量的威胁模型下攻击者可利用此行为作为时序预言来推断 HMAC 值。
Node.js 已提供在代码库中别处使用的时序安全比较原语表明这是一种疏忽而非有意的设计决策。
此漏洞影响 20.x、 22.x、 24.x和 25.x。
注意 https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#timing-side-channel-in-hmac-verification-via-memcmp-in-crypto_hmaccc-leads-to-potential-mac-forgery-cve-2026-21713---medium(CVE-2026-21713)
客户端在流 0连接级别上发送 WINDOW_UPDATE 帧并导致流量控制窗口超过 231-1规定的最大值时Node.js HTTP/2 服务器中会发生内存泄露。服务器正确地发送了 GOAWAY 帧,但从未清除 Http2Session 对象。
此漏洞会影响 Node.js 20、22、24 和 25 中的 HTTP2 用户。
注意 https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#memory-leak-in-nodejs-http2-server-via-window_update-on-stream-0-leads-to-resource-exhaustion-cve-2026-21714---medium(CVE-2026-21714)
Node.js 权限模型文件系统执行中的缺陷使 fs.realpathSync.native() 缺少所需的读取权限检查而所有类似的文件系统函数都可以正确执行这些检查。因此以受限制 [ --permission 的 --allow-fs-read 下运行的代码仍可使用 fs.realpathSync.native() 检查文件存在性、解析符号链接目标以及枚举允许的目录之外的文件系统路径。此漏洞会影响 20.x、 22.x、使用权限模型的 24.x和 25.x 进程其中特意限制 --allow-fs-read 。
注意:https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#permission-model-bypass-in-realpathsyncnative-allows-file-existence-disclosure-cve-2026-21715---low (CVE-2026-21715)
对 CVE-2024-36137 的修复不完整导致 Promise API 中的 FileHandle.chmod() 和 FileHandle.chown() 缺少必要的权限检查而它们基于回调的同等项fs.fchmod()、fs.fchown()已得到正确修补。
因此在 --permission 下运行 --allow-fs-write 受限的代码仍可使用基于承诺的 FileHandle 方法修改已打开文件描述符上的文件权限和所有权从而绕过预期写入限制。
此漏洞会影响使用特意限制 --allow-fs-write 的权限模型的 20.x、 22.x、 24.x和 25.x 进程。
注意 https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#cve-2024-36137-patch-bypass---filehandlechmodchown-cve-2026-21716---low (CVE-2026-21716)
V8 字符串哈希机制中的一个缺陷可导致类似整数的字符串被哈希为其数值从而轻松预测哈希冲突。通过构建导致 V8 内部字符串表中发生很多此类冲突的请求攻击者会显着降低 Node.js 进程的性能。
最常见的触发因素是对攻击者控制的输入调用 JSON.parse() 的任何端点,因为 JSON 解析会自动将短字符串内部化到受影响的哈希表中。
此漏洞影响 20.x、 22.x、 24.x和 25.x。
注意:https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#hashdos-in-v8-cve-2026-21717---medium (CVE-2026-21717)
node-tar 是一个适用于 Node.js 的全功能 Tar。在版本 7.5.7 和更低版本中使用默认选项时攻击者控制的存档可在指向提取根外部文件的提取目录内创建硬链接从而以提取用户的身份实现任意文件的读取和写入。严重性为“高危”因为原语绕过路径保护并将存档提取转换为直接文件系统访问原语。此问题已在 7.5.8 版本中修复。(CVE-2026-26960)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“dnf update nodejs24 --releasever 2023.11.20260413”或“dnf update --advisory ALAS2023-2026-1578 --releasever 2023.11.20260413”以更新系统。另见
https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1578.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-21710.html
https://explore.alas.aws.amazon.com/CVE-2026-21712.html
https://explore.alas.aws.amazon.com/CVE-2026-21713.html
https://explore.alas.aws.amazon.com/CVE-2026-21714.html
https://explore.alas.aws.amazon.com/CVE-2026-21715.html
https://explore.alas.aws.amazon.com/CVE-2026-21716.html
插件详情
严重性: High
ID: 306235
文件名: al2023_ALAS2023-2026-1578.nasl
版本: 1.1
类型: Local
代理: unix
发布时间: 2026/4/13
最近更新时间: 2026/4/13
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: Medium
基本分数: 6.6
时间分数: 5.2
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:N
CVSS 分数来源: CVE-2026-26960
CVSS v3
风险因素: High
基本分数: 7.1
时间分数: 6.4
矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:amazon:linux:v8-13.6-devel, p-cpe:/a:amazon:linux:nodejs24-debugsource, p-cpe:/a:amazon:linux:nodejs24-debuginfo, p-cpe:/a:amazon:linux:nodejs24-full-i18n, p-cpe:/a:amazon:linux:nodejs24-npm, p-cpe:/a:amazon:linux:nodejs24-libs-debuginfo, p-cpe:/a:amazon:linux:nodejs24-docs, p-cpe:/a:amazon:linux:nodejs24-devel, p-cpe:/a:amazon:linux:nodejs24-libs, p-cpe:/a:amazon:linux:nodejs24, cpe:/o:amazon:linux:2023
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2026/4/13
漏洞发布日期: 2026/2/18
参考资料信息
CVE: CVE-2026-21710, CVE-2026-21712, CVE-2026-21713, CVE-2026-21714, CVE-2026-21715, CVE-2026-21716, CVE-2026-21717, CVE-2026-26960