CVE-2024-24828 in pkginformación

Resumen

por VulDB • 2026-06-18

pkg es una herramienta diseñada para empaquetar proyectos Node.js en ejecutables. Los paquetes de código nativo compilados por `pkg` se escriben en un directorio codificado duro (hardcoded). En sistemas Unix, este directorio es `/tmp/pkg/*`, que es un directorio compartido para todos los usuarios del mismo sistema local. No hay unicidad en los nombres de los paquetes dentro de este directorio; son predecibles. Un atacante con acceso al mismo sistema local puede reemplazar los ejecutables genuinos en el directorio compartido por ejecutales maliciosos con el mismo nombre. Posteriormente, un usuario podría ejecutar el ejecutable malicioso sin darse cuenta de que ha sido modificado. Este paquete está obsoleto (deprecated). Por lo tanto, no se proporcionará ningún parche para esta vulnerabilidad. Para verificar si su compilación de ejecutables realizada por pkg depende de código nativo y es vulnerable, ejecute el ejecutable y compruebe si se creó `/tmp/pkg/`. Los usuarios deberían migrar a alternativas activamente mantenidas. Recomendamos investigar el soporte de Node.js 21 para aplicaciones con un único ejecutable (single executable applications). Dada la decisión de obsoletizar el paquete pkg, no hay soluciones temporales ni remediaciones oficiales proporcionadas por nuestro equipo. Los usuarios deben priorizar la migración a otros paquetes que ofrezcan funcionalidades similares con una seguridad mejorada.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub, Inc.

Reservar

2024-01-31

Divulgación

2024-02-10

Moderación

aceptado

Artículo

VDB-253327

CPE

listo

EPSS

0.00231

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!