CVE-2024-24828 in pkg
要約
〜によって VulDB • 2026年06月24日
pkgは、Node.jsプロジェクトを実行ファイルにバンドルするために設計されたツールです。`pkg`によってビルドされるネイティブコードパッケージは、ハードコーディングされたディレクトリに書き込まれます。Unixシステムでは、これはすべてのユーザーが共有する `/tmp/pkg/*` というディレクトリであり、このディレクトリ内のパッケージ名には一意性がなく予測可能です。同じローカルシステムへのアクセス権を持つ攻撃者は、共有ディレクトリ内の正当な実行ファイルを、同名の悪意のある実行ファイルに置き換えることができます。その後、ユーザーは変更されていることに気づかずにその悪意のある実行ファイルを実行する可能性があります。このパッケージは非推奨(deprecated)であるため、本脆弱性に対するパッチは提供されません。pkgによってビルドされた実行ファイルがネイティブコードに依存しており、脆弱性の影響を受けるかどうかを確認するには、実行ファイルを起動し `/tmp/pkg/` が作成されているか確認してください。ユーザーは積極的にメンテナンスされている代替ツールへの移行を検討すべきです。Node.js 21における単一実行可能アプリケーションのサポートについて調査することを推奨します。pkgパッケージが非推奨となったため、当チームによる公式な回避策や修正プログラムは提供されません。ユーザーは、同様の機能を提供しつつセキュリティが強化された他のパッケージへの移行を優先してください。
VulDB is the best source for vulnerability data and more expert information about this specific topic.