漏洞描述:
NodeBB 是基于 Node.js 的开源论坛系统。受影响版本中由于使用对象解构赋值语法解析用户导出路径,并且未对导出路径进行过滤,攻击者可构造恶意负载调用用户导出逻辑,在目标服务器中执行任意javascript文件。
影响范围:
nodebb[2.5.0, 2.8.7)
修复方案:
升级nodebb到 2.8.7 或更高版本
官方已发布补丁:https://github.com/NodeBB/NodeBB/commit/ec58700f6dff8e5b4af1544f6205ec362b593092
参考链接:
https://github.com/NodeBB/NodeBB/security/advisories/GHSA-vh2g-6c4x-5hmp
https://github.com/NodeBB/NodeBB/commit/ec58700f6dff8e5b4af1544f6205ec362b593092