नई दिल्ली: इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय के अंतर्गत आने वाली भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (CERT-In) ने गुरुवार को उपयोगकर्ताओं को Node.js में कई कमजोरियों के बारे में चेतावनी दी, जो किसी हमलावर को लक्षित सिस्टम से समझौता करने का मौका दे सकती हैं।
प्रभावित सॉफ़्टवेयर में Node.js के 18.20.4 (LTS), 20.15.1 (LTS) और 22.4.1 (वर्तमान) से पहले के संस्करण शामिल हैं। CERT-In की सलाह में कहा गया है, “Node.js में कई कमज़ोरियाँ बताई गई हैं, जिनका फ़ायदा हमलावर संवेदनशील जानकारी प्राप्त करने, सुरक्षा प्रतिबंधों को दरकिनार करने और लक्षित सिस्टम पर मनमाना कोड निष्पादित करने के लिए उठा सकता है।”
साइबर एजेंसी के अनुसार, Node.js में ये कमजोरियां अपर्याप्त अनुमति मॉडल के कारण मौजूद हैं, जो “fs.lstat API के माध्यम से फ़ाइल आँकड़ों को प्रतिबंधित करने में विफल रहता है, डेटा URL में गैर-नेटवर्क आयातों को एम्बेड करना, child_process.spawn/child_process.spawnSync में बैच फ़ाइलों की अनुचित हैंडलिंग, –allow-fs-write ध्वज का उपयोग करते समय त्रुटि और अनुमति मॉडल द्वारा UNC पथों की अनुचित प्रोसेसिंग”।
एजेंसी ने बताया कि इन कमज़ोरियों का सफल दोहन हमलावर को संवेदनशील जानकारी प्राप्त करने, सुरक्षा प्रतिबंधों को दरकिनार करने और लक्षित सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति दे सकता है। CERT-In ने उपयोगकर्ताओं को कंपनी द्वारा बताए गए उचित सुरक्षा अपडेट लागू करने की सलाह दी।
