ID CVE-2023-32006
Summary The use of `module.constructor.createRequire()` can bypass the policy mechanism and require modules outside of the policy.json definition for a given module. This vulnerability affects all users using the experimental policy mechanism in all active release lines: 16.x, 18.x, and, 20.x. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js.
References
Vulnerable Configurations
  • cpe:2.3:a:nodejs:node.js:20.1.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:20.1.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:20.3.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:20.3.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:20.3.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:20.3.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:20.4.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:20.4.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:20.5.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:20.5.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.0.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.0.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.1.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.1.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.2.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.2.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.3.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.3.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.4.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.4.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.4.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.4.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.4.2:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.4.2:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.5.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.5.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.6.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.6.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.6.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.6.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.6.2:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.6.2:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.7.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.7.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.8.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.8.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.9.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.9.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.9.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.9.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.10.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.10.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.11.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.11.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.11.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.11.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:16.12.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:16.12.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.2:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.2:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.3:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.3:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.4:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.4:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.5:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.5:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.0.6:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.0.6:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.1.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.1.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.2.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.2.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.3.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.3.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.4.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.4.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.5.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.5.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.6.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.6.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.7.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.7.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.8.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.8.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.9.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.9.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.9.1:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.9.1:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.10.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.10.0:*:*:*:-:*:*:*
  • cpe:2.3:a:nodejs:node.js:18.11.0:*:*:*:-:*:*:*
    cpe:2.3:a:nodejs:node.js:18.11.0:*:*:*:-:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*
CVSS
Base: None
Impact:
Exploitability:
CWE NVD-CWE-noinfo
CAPEC
Access
VectorComplexityAuthentication
Impact
ConfidentialityIntegrityAvailability
Last major update 15-09-2023 - 14:15
Published 15-08-2023 - 16:15
Last modified 15-09-2023 - 14:15
Back to Top