1.漏洞描述 各种node:fs函数允许将路径指定为字符串或Uint8Array对象。在Node.js环境中，Buffer类扩展了Uint8Array类。Node.js阻止路径遍历字符串（请参见CVE-2023-30584）和Buffer对象（请参见CVT-2023-32004），但不阻止路径遍历非Buffer Uint8Array对象。这与CVE-2023-32004（报告2038134）不同，后者仅引用Buffer对象。然而，该漏洞遵循使用Uint8Array而不是Buffer的相同模式。影响：该漏洞影响所有使用Node.js 20中实验性权限模型的用户。请注意，在发布此CVE时，权限模型是Node.js的实验性功能。 2.影响产品(系统版本 是否受影响) 银河麒麟高级服务器操作系统 V10 SP1 不影响 银河麒麟高级服务器操作系统 V10 SP2 不影响 银河麒麟高级服务器操作系统 V10 SP3 不影响 银河麒麟高级服务器操作系统（Host版）V10 不影响 银河麒麟高级服务器操作系统 V10 HPC 不影响 银河麒麟云底座操作系统 V10 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2023-39332 严重 7.5 其他 漏洞评分向量：CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 4.修复方案 无需修复