Empresa
¿Quiénes somos? Visión y Valores
Herramientas
Email Checker Vigía DNS SSL Checker Password Strength HTTP Headers
Alertas
Todas las alertas Vulnerabilidades Incidentes Solo críticas En CISA KEV
Editorial
Análisis técnico ¿Cuál es mi IP?
Blog
Blog 2MCI ISO 27001 Amenazas LATAM Recursos Gratuitos eBook Gratuito Newsletter Podcast / YouTube
Empresa
Servicios Contacto Suscribirse al Newsletter
🆕 Nuevo en 2MCI
✨ Crear cuenta gratis 🛠️ Ver herramientas sin registro
Ya tengo cuenta
🔒 Iniciar sesión
Equipo
🏠 Portal interno 2MCI
Inicio/ Alertas/ Vulnerabilidad
Medio CVE-2024-22018 OpenJS Foundation

Vulnerabilidad en Node.js 20 y 21: Fuga de información mediante fs.lstat en modelo de permisos experimental

Vulnerabilidad · Publicado 31/05/2026 · Actualizado 01/06/2026

Resumen ejecutivo

Una vulnerabilidad en Node.js afecta el modelo de permisos experimental cuando se utiliza la bandera --allow-fs-read. El fallo permite a atacantes obtener metadatos de archivos (a través de fs.lstat) sin tener permisos de lectura explícitos, comprometiendo la confidencialidad de información sensible. Afecta a Node.js versiones 20 y 21 en entornos que implementen el modelo de permisos experimental.

Análisis asistido por IA, contexto LATAM revisado por el equipo 2MCI.

Descripción técnica

Descripción

Microsoft ha publicado una actualización de seguridad para abordar esta vulnerabilidad. Consulta el advisory oficial para detalles técnicos completos.

Identificador CVE

CVE-2024-22018 — NVD National Vulnerability Database

Fuente oficial

Advisory publicado por Microsoft Security Response Center (MSRC). Consulta el advisory completo para vectores de ataque, sistemas afectados y actualizaciones disponibles.

¿Qué hacer?
  • Identificar aplicaciones en producción usando --allow-fs-read en Node.js 20/21
  • Evaluar urgencia según datos sensibles expuestos (credenciales, rutas de configuración)
  • Actualizar Node.js a versión parcheada o desactivar modelo de permisos experimental temporalmente
  • Revisar logs para detectar accesos anómalos a fs.lstat
  • Consultar advisory oficial de OpenJS Foundation para CVE-2024-22018 según versión específica

Fuentes originales

MSRC Advisory ↗ MSRC Update Guide ↗
microsoft msrc patch cve-2024-22018
Esta alerta fue generada automáticamente a partir del Microsoft Security Response Center.
← Volver a todas las alertas