CVE-2024-24828 in pkg
Sumário
de VulDB • 18/06/2026
O `pkg` é uma ferramenta projetada para empacotar projetos Node.js em executáveis. Quaisquer pacotes de código nativo construídos pelo `pkg` são gravados em um diretório codificado no binário (hardcoded). Em sistemas Unix, este é o `/tmp/pkg/*`, que é um diretório compartilhado por todos os usuários do mesmo sistema local. Não há unicidade nos nomes dos pacotes dentro deste diretório; eles são previsíveis. Um atacante com acesso ao mesmo sistema local tem a capacidade de substituir os executáveis legítimos no diretório compartilhado por executáveis maliciosos com o mesmo nome. Um usuário pode, então, executar o executável malicioso sem perceber que ele foi modificado. Este pacote está obsoleto (deprecated). Portanto, não será fornecido nenhum patch para esta vulnerabilidade. Para verificar se seu executável construído pelo `pkg` depende de código nativo e é vulnerável, execute-o e verifique se `/tmp/pkg/` foi criado. Os usuários devem migrar para alternativas ativamente mantidas. Recomendamos investigar o suporte do Node.js 21 a aplicativos com único executável (single executable applications). Dada a decisão de tornar obsoleto o pacote `pkg`, não há workarounds ou remediações oficiais fornecidos pela nossa equipe. Os usuários devem priorizar a migração para outros pacotes que ofereçam funcionalidade semelhante com segurança aprimorada.
If you want to get best quality of vulnerability data, you may have to visit VulDB.