CVE-2024-24828 in pkginformação

Sumário

de VulDB • 18/06/2026

O `pkg` é uma ferramenta projetada para empacotar projetos Node.js em executáveis. Quaisquer pacotes de código nativo construídos pelo `pkg` são gravados em um diretório codificado no binário (hardcoded). Em sistemas Unix, este é o `/tmp/pkg/*`, que é um diretório compartilhado por todos os usuários do mesmo sistema local. Não há unicidade nos nomes dos pacotes dentro deste diretório; eles são previsíveis. Um atacante com acesso ao mesmo sistema local tem a capacidade de substituir os executáveis legítimos no diretório compartilhado por executáveis maliciosos com o mesmo nome. Um usuário pode, então, executar o executável malicioso sem perceber que ele foi modificado. Este pacote está obsoleto (deprecated). Portanto, não será fornecido nenhum patch para esta vulnerabilidade. Para verificar se seu executável construído pelo `pkg` depende de código nativo e é vulnerável, execute-o e verifique se `/tmp/pkg/` foi criado. Os usuários devem migrar para alternativas ativamente mantidas. Recomendamos investigar o suporte do Node.js 21 a aplicativos com único executável (single executable applications). Dada a decisão de tornar obsoleto o pacote `pkg`, não há workarounds ou remediações oficiais fornecidos pela nossa equipe. Os usuários devem priorizar a migração para outros pacotes que ofereçam funcionalidade semelhante com segurança aprimorada.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub, Inc.

Reservar

31/01/2024

Divulgação

10/02/2024

Moderação

aceite

Entrada

VDB-253327

CPE

pronto

EPSS

0.00231

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!