NPM组件包 openssl v2.0 存在命令注入漏洞

来源: 投稿
2023-11-26 12:04:00

漏洞描述

openssl(又名node-openssl) NPM组件包是对开源加密仓库 OpenSSL 的封装,用于调用 OpenSSL 实现数据加密和签名。openssl 函数的 opts 参数用于构建调用 OpenSSL 的命令参数。该软件包更新至 v2.0 版本,于2021年11月16日停止维护。

openssl 2.0 版本中,由于未对 opts 参数中的 verb 字段进行过滤,当用户通过调用 openssl() 函数时,可在 opts 参数的 verb 参数中注入任意代码,进而在用户主机中执行任意系统命令。

漏洞名称 NPM组件包 openssl v2.0 存在命令注入漏洞
漏洞类型 命令注入
发现时间 2023-11-24
漏洞影响广度
MPS编号 MPS-z1fn-loy8
CVE编号 CVE-2023-49210
CNVD编号 -

影响范围

openssl@[0.1.0, 2.0.0]

修复方案

作者已停止维护,建议使用node-forge等组件替换

参考链接

https://www.oscs1024.com/hd/MPS-z1fn-loy8

https://nvd.nist.gov/vuln/detail/CVE-2023-49210

 

 

    

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具: https://www.murphysec.com/?src=osc

免费情报订阅: https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

展开阅读全文
点击引领话题📣 发布并加入讨论🔥
0 评论
0 收藏
分享
返回顶部
顶部