一、漏洞详情

Node.js是一个基于Chrome V8引擎的JavaScript运行环境，它使用高效、轻量级的事件驱动、非阻塞I/O模型。Node.js中的包管理器npm，是全球主流的开源库生态系统。Node.js发布了安全更新，修复了Node.js中的多个安全漏洞，其中漏洞CVE-2021-22931、CVE-2021-22940为高危漏洞，攻击者可利用这些漏洞执行跨站脚本攻击、使应用程序崩溃（拒绝服务）、远程执行恶意代码和造成内存破坏。

1. CVE-2021-22931 远程代码执行漏洞

该漏洞源于Node.js DNS库中的域名服务器对返回的主机名缺少输入验证，可导致错误的主机名输出（导致域名劫持）和应用的注入漏洞，攻击者可利用该漏洞实现远程代码执行、跨站脚本攻击及造成应用崩溃。

2. CVE-2021-22940 释放后重用漏洞

该漏洞源于释放后重用，攻击者可利用该漏洞造成内存破坏从而改变进程行为。该漏洞是因漏洞CVE-2021-22930未能完全修复而导致。

目前官方已修复该漏洞，建议受影响用户及时更新至安全版本进行防护，并做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Node.js 12.x < 12.22.5 (LTS)

Node.js 14.x < 14.17.5 (LTS)

Node.js 16.x < 16.6.2 (Current)

三、修复建议

建议受影响用户及时升级更新到以下安全版本：

Node.js v12.22.5 (LTS)

Node.js v14.17.5 (LTS)

Node.js v16.6.2 (Current)

下载链接：https://nodejs.org/en/download/