minimist是一款命令行参数解析工具。
minimist <=1.2.5存在安全漏洞,该漏洞源于容易受到通过文件 index.js、函数 setKey()的原型污染。
npm node-semver是美国npm公司的一个库。
node-semver 7.5.2之前版本存在安全漏洞,该漏洞源于容易受到正则表达式拒绝服务(ReDoS)的攻击。
decode-uri-component <=0.2.0 存在输入验证不当漏洞
拒绝服务
decode-uri-component 是一个用于解码 url 的工具包。
decode-uri-component 0.2.0 及之前的版本在使用 decodeUriComponent 类解析恶意字符(如 %ea%ba%5a%ba )时会触发异常 Uncaught TypeError TypeError: decodeComponents(...).join is not a function ,使得服务停止响应。
当应用程序使用 decodeUriComponent 解析未过滤的用户输入时,攻击者可通过构造恶意的 url 字符进行拒绝服务攻击。
query-string 是一个对 url 进行解析和字符串化的工具包,Github 中有 6.1k star。query-string 7.1.1 及之前版本会使用 decode-uri-component 组件对 url 进行解码,会受到该漏洞的影响。
minimatch是isaacs个人开发者的一个 javascript 中的全局匹配器。
minimatch存在安全漏洞,该漏洞源于当使用特定参数调用braceExpand函数时,出现正则表达式拒绝服务(ReDoS),从而导致拒绝服务。
Tauri是Tauri开源的一个使用 Web 前端构建更小、更快、更安全的桌面应用程序。
Tauri 2.2.1版本及之前版本存在安全漏洞,该漏洞源于parse方法不限制名为 __proto__ 键的解析,允许恶意字符串污染生成对象的原型。
由于结果变量中使用了不安全的正则表达式,word-wrap包的所有版本都存在正则表达式拒绝服务(ReDoS)漏洞。攻击者可以利用此漏洞通过构造恶意输入来导致正则表达式匹配超时,进而导致系统拒绝服务。建议升级到修复版本以修补此漏洞。
评论