ID CVE-2023-30581
Summary The use of __proto__ in process.mainModule.__proto__.require() can bypass the policy mechanism and require modules outside of the policy.json definition. This vulnerability affects all users using the experimental policy mechanism in all active release lines: v16, v18 and, v20. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js
References
Vulnerable Configurations
  • cpe:2.3:a:nodejs:node.js:20.0.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:20.0.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:20.1.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:20.1.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:20.2.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:20.2.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:20.3.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:20.3.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.0.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.0.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.1.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.1.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.2.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.2.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.3.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.3.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.4.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.4.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.4.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.4.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.4.2:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.4.2:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.5.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.5.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.6.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.6.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.6.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.6.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.6.2:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.6.2:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.7.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.7.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.8.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.8.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.9.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.9.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.9.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.9.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.10.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.10.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.11.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.11.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.11.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.11.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.12.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.12.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.2:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.2:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.3:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.3:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.4:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.4:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.5:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.5:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.6:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.6:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.1.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.1.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.2.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.2.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.3.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.3.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.4.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.4.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.5.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.5.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.6.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.6.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.7.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.7.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.8.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.8.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.9.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.9.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.9.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.9.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.10.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.10.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.11.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.11.0:*:*:*:-:*:*:*
CVSS
Base: None
Impact:
Exploitability:
CWE NVD-CWE-noinfo
CAPEC
Access
VectorComplexityAuthentication
Impact
ConfidentialityIntegrityAvailability
Last major update 11-12-2023 - 20:49
Published 23-11-2023 - 00:15
Last modified 11-12-2023 - 20:49
Back to Top