安全更新現已發布

Node.JS 18.x、20.x 和 21.x 版本線現已推出更新，以解決以下問題。

在 Windows 系統上，即使未啟用 shell 選項，通過 child_process.spawn 的參數仍可能存在命令注入風險（CVE-2024-27980） – （高風險）

由于 child_process.spawn / child_process.spawnSync 中處理批處理文件的方式不當，惡意命令行參數可以注入任意命令并執行代碼，即使未啟用 shell 選項也是如此。

影響范圍：

此漏洞影響所有當前活動的發布線：18.x、20.x、21.x。感謝 ryotak 報告此漏洞，并感謝 Ben Noordhuis 解決了這一問題。

總結

Node.js 項目計劃在 2024 年 4 月 9 日或之后，為 18.x、20.x、21.x 發布線推出新版本，以解決：

1 個高風險問題

Node.js 的 18.x 發布線受到 1 個高風險問題的影響。Node.js 的 20.x 發布線受到 1 個高風險問題的影響。Node.js 的 21.x 發布線受到 1 個高風險問題的影響。

發布時間

更新將于 2024 年 4 月 9 日或之后發布。