「Node.js」にセキュリティ更新 ～全7件の脆弱性、最大深刻度は「High」

「Node.js」v18.17.1 などがリリース

　「Node.js」の開発チームは8月9日、「Node.js」のセキュリティアップデートをリリースした。以下のバージョンへのアップデートが推奨されている。

• Node v16.20.2（LTS）
• Node v18.17.1（LTS）
• Node v20.5.1（Current）

　今回のリリースで修正された脆弱性は、以下の7件（括弧内は深刻度）。

• CVE-2023-32002：Permissions policies can be bypassed via Module._load（HIGH）
• CVE-2023-32004：Permission model bypass by specifying a path traversal sequence in a Buffer（HIGH）
• CVE-2023-32558：process.binding() can bypass the permission model through path traversal（HIGH）
• CVE-2023-32006：Permissions policies can impersonate other modules in using module.constructor.createRequire（MEDIUM）
• CVE-2023-32559：Permissions policies can be bypassed via process.binding（MEDIUM）
• CVE-2023-32005：fs.statfs can retrive stats from files restricted by the Permission Model（LOW）
• CVE-2023-32003：fs.mkdtemp() and fs.mkdtempSync() are missing getValidatedPath() checks（LOW）

　そのほかにも、7月に実施された「OpenSSL」セキュリティアップデートが含まれている。