Tag: BatBadBut

Node.js の脆弱性 CVE-2024-36138 が FIX:Windows 上で RCE の恐れ

CVE-2024-36138: High-Severity Vulnerability in Node.js Allows Code Execution on Windows

2024/07/08 SecurityOnline — Node.js プロジェクトが公開したのは、複数の脆弱性に対処するセキュリティ・アップデートであり、その中には、セキュリティ・バイパスと任意のコード実行へといたる、深刻度の高い脆弱性も含まれる。最も深刻な脆弱性 CVE-2024-36138 は、以前に問題となった CVE-2024-27980 (通称:BatBadBut) に対する、不完全な修正をバイパスするものだ。この脆弱性の悪用に成功した攻撃者は、Windows 上でシェル・オプションが無効化されている場合であっても、任意のコマンド・インジェクションが可能になる。この脆弱性は、Node.js の全リリース・ライン (v18.x/v20.x/v22.x) に影響を及ぼし、Windows ユーザーに深刻なリスクをもたらす。

Continue reading “Node.js の脆弱性 CVE-2024-36138 が FIX:Windows 上で RCE の恐れ”

BatBadBut コマンド・インジェクション:Windows 上の Rust/Node.js/PHP などに影響

‘BatBadBut’ Command Injection Vulnerability Affects Multiple Programming Languages

2024/04/12 SecurityWeek — 複数のプログラミング言語から、Windows アプリケーションのコマンド・インジェクションにつながるという深刻な脆弱性について、Flatt Security のバグハンターたちが警告している。この BatBadBut と名付けられた問題は、Windows オペレーティング・システムにおいて、”CreateProcess” 関数でバッチ (bat) ファイルが実行され、”cmd exe” プロセスが生成される際に、プログラミング言語がコマンド引数を適切に回避しないことに起因する。

Continue reading “BatBadBut コマンド・インジェクション:Windows 上の Rust/Node.js/PHP などに影響”