CVE-2024-27980：关键 Node.js 更新修补 Windows 命令注入缺陷

在 Windows 上未启用 shell 选项的情况下通过 child_process.spawn 的 args 参数进行命令注入 (CVE-2024-27980) - (HIGH)

由于child_process.spawn / child_process.spawnSync中的批处理文件处理不当，即使未启用shell选项，恶意命令行参数也可以注入任意命令并实现代码执行。

影响：

此漏洞影响活动版本线中的所有用户：18.x、20.x、21.x

感谢 ryotak 报告此漏洞，并感谢 Ben Noordhuis 修复该漏洞。

概括

Node.js 项目将于 2024 年 4 月 9 日星期二或之后不久发布 18.x、20.x、21.x 版本的新版本，以便解决：

• 1. 严重性高的问题。

影响

Node.js 的 18.x 发行版容易受到 1 个高严重性问题的影响。Node.js 20.x 版本系列容易受到 1 个高严重性问题的影响。Node.js 的 21.x 版本系列容易受到 1 个高严重性问题的影响。