Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

CVE-2025-23090

PUBLISHED 10.02.2025

CNA: hackerone

Обновлено: 22.01.2025

With the aid of the diagnostics_channel utility, an event can be hooked into whenever a worker thread is created. This is not limited only to workers but also exposes internal workers, where an instance of them can be fetched, and its constructor can be grabbed and reinstated for malicious usage. This vulnerability affects Permission Model users (--permission) on Node.js v20, v22, and v23.

CVSS

Оценка	Severity	Версия	Базовый вектор
7.7	HIGH	3.0	CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Доп. Информация

Product Status

node

Product:

node

Vendor:

Node.js

Default status:

unaffected

Версии:

Затронутые версии	Статус
Наблюдалось до версии 20.18.1	affected
Наблюдалось до версии 22.13.0	affected
Наблюдалось до версии 23.6.0	affected

Ссылки

https://hackerone.com/reports/2575105

CISA ADP Vulnrichment

Обновлено: 10.02.2025

Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation	Automatable	Technical Impact	Версия	Дата доступа
none	no	total	2.0.3	23.01.2025

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - CVE - CVE-2025-23090