一、漏洞详情

Node.js是一个基于Chrome V8引擎的开源免费跨平台的JavaScript运行环境。

该漏洞是由于Node.js进程尝试加载providers.dll时没有指定DLL的绝对路径，Windows会按照特定策略进行搜索以找到所需的DLL文件，攻击者可以在当前工作目录写入恶意DLL文件进行DLL劫持攻击，最终执行任意代码。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Node.js < 14.20.0

16.0.0 ≤ Node.js < 16.16.0

17.0.0 ≤ Node.js < 18.5.0

三、修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

请及时关注更新：https://nodejs.org/en/