В среду, 10 апреля 2024 года, были выпущены обновления безопасности для Node.js. Доступны обновления для версий 18.x, 20.x, 21.x, устраняющие следующие проблемы:
Внедрение команд через параметр args функции child_process.spawn без включенной опции shell на Windows (CVE-2024-27980) – (ВЫСОКИЙ УРОВЕНЬ УГРОЗЫ). Из-за неправильной обработки пакетных файлов в child_process.spawn / child_process.spawnSync, злоумышленник может внедрять произвольные команды и осуществлять выполнение кода, даже если опция shell не активирована.
