【漏洞通报】Node.js Windows下路径遍历漏洞

漏洞情况

近期，火山信安实验室监测发现，Node.js 在 Windows 系统下存在路径遍历漏洞。该漏洞源于 Node.js 在处理文件路径相关操作时，对用户输入的路径参数缺乏严格的过滤和规范化处理，尤其是在 Windows 系统特有的路径格式和特性下，攻击者能够通过精心构造的恶意路径，绕过系统的安全限制，访问或操作应用程序预期之外的文件系统资源，可能导致敏感信息泄露、文件被篡改或删除等严重安全后果，对基于 Node.js 开发的应用程序在 Windows 环境下的安全性构成重大威胁。

0x01漏洞利用方式

攻击者首先需要了解目标 Node.js 应用程序中涉及文件操作的接口，例如文件读取、写入、下载等功能所对应的 URL 端点或 API 接口。假设应用程序有一个用于读取用户上传文件的接口，其路径为 http://example.com/readFile?filePath=user_uploads/[filename]，在 Windows 系统中，路径可以使用反斜杠 \ 作为分隔符，并且存在一些特殊的路径表示方式，如 ..\ 用于返回上一级目录。一旦恶意路径被应用程序接受并用于文件操作，攻击者就能够读取到系统上的敏感文件内容，如系统配置文件、用户密码文件、数据库备份文件等。如果应用程序具有文件写入权限，攻击者还可以通过构造恶意路径来覆盖或删除重要文件，导致系统服务中断或数据丢失等严重后果。

0x02影响范围

• Node.js 14.x 系列中 14.21.3 之前的版本
• Node.js 16.x 系列中 16.20.2 之前的版本
• Node.js 18.x 系列中 18.17.1 之前的版本
• Node.js 20.x 系列中 20.6.1 之前的版本

0x03修复方案

1. Node.js 官方已经发布了包含漏洞修复的新版本，升级完成后，重新启动应用程序以使修复生效
2. 确保 Node.js 应用程序运行所使用的用户账户具有最小必要的文件系统权限。避免使用具有过高权限的账户（如管理员账户）来运行应用程序，以减少攻击者在成功利用漏洞后能够造成的损害
3. 在应用程序中添加详细的日志记录功能，记录所有与文件操作相关的请求，包括用户输入的路径参数、操作类型（读取、写入等）以及操作结果。同时，部署监控系统，实时监测异常的文件访问行为，如频繁的文件读取或写入操作、访问敏感目录等，及时发现并响应潜在的安全威胁

来源自：广州盈基信息官网