Follow Redirects 安全漏洞
侵犯隐私
Follow Redirects是一个自动遵循 Http(s) 重定向的 Node.js 模块。
Follow Redirects 存在安全漏洞,该漏洞源于follow-redirects容易暴露私人个人信息给未经授权的参与者。
dns-packet 信息泄露漏洞
资源初始化缺失
dns-packet是一个应用软件。一个抽象的编码为编码/解码DNS数据包的依从模型。
dns-packet 5.2.2之前版本存在安全漏洞,该漏洞源于使用allocUnsafe创建缓冲区,并且在形成网络数据包之前并不总是填充它们。
node-tar是一款用于文件压缩/解压缩的软件包。
Npm Node-tar 中存在后置链接漏洞,该漏洞源于产品未对特殊字符做有效验证。攻击者可通过该漏洞在其他路径创建恶意文件。
lodash 是一个现代 JavaScript 实用程序库,提供模块化、性能和附加功能。由于对 CVE-2020-8203 的修复不完整,此软件包的受影响版本容易受到 zipObjectDeep 中的原型污染。
Ajv 6.12.2版本中的ajv.validate()函数中存在输入验证错误漏洞。攻击者可利用该漏洞执行代码或造成拒绝服务。
Laravel Framework存在未明漏洞
危险类型文件的不加限制上传
Laravel Framework是Taylor Otwell个人开发者的一款基于PHP的Web应用程序开发框架。Laravel Framework8.70.2之前版本存在安全漏洞,该漏洞源于框架并没有充分阻止可执行PHP内容的上传,因为Illuminate/Validation/Concerns/ValidatesAttributes.php缺少对.phar文件的检查,这些文件在基于Debian的系统上被处理为application/x-httpd-php。在某些用例中,这可能与图像上传的文件类型验证有关。 目前没有详细的漏洞细节提供。
Andrey Sitnik postcss 安全漏洞
Andrey Sitnik postcss是Andrey Sitnik开源的一个应用程序,用于使用JS插件进行样式转换。
在漏洞版本中该程序在源映射解析期间受到正则表达式拒绝服务(ReDoS)的攻击。
Indutny Elliptic 加密问题漏洞
密码算法不安全
Indutny Elliptic是Indutny个人开发者的一个基于Javascript为应用提供快速椭圆曲线加密的代码库。
Indutny Elliptic 存在安全漏洞,该漏洞源于没有检查来确认公钥。
Digital Bazaar Forge 输入验证错误漏洞
跨站重定向
Digital Bazaar Forge是美国Digital Bazaar公司的一个 Tls 在 Javascript 中的本机实现以及用于编写基于加密和网络密集型 Web 应用程序的开源工具。
Digital Bazaar Forge 中存在输入验证错误漏洞,该漏洞源于产品允许URL重定向到不受信任的站点。
needle 存在Authorization请求头泄露漏洞
信息暴露
needle 是 一款流式传输的HTTP客户端
needle 没有对重定向后的请求头做过滤处理,会把第一次请求的 Authorization 请求头也传递到重定向后的服务,导致 Authorization 请求头泄露。
攻击者可利用该漏洞被动窃取用户的 Authorization 数据。
serialize-to-js 跨站脚本漏洞
XSS
serialize-to-js是一款能够将对象序列化为字符串的软件包。
serialize-to-js(NPM)3.0.1之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
github ws是一个应用软件。一种易于使用,运行迅速且经过全面测试的WebSocket客户端和服务器实现的方法。
漏洞版本中“Sec-Websocket-Protocol”标头的一个特殊的值可以用来显著降低ws服务器的速度,从而导致拒绝服务漏洞。
lodash 是一个现代 JavaScript 实用程序库,提供模块化、性能和附加功能。此软件包的受影响版本容易通过 setWith 和 set 函数受到原型污染。
uglify-js 存在ReDoS漏洞
ReDoS
uglify-js 是一个 JavaScript 解析器、压缩器、压缩器和美化工具包。此软件包的受影响版本容易通过 string_template 和 decode_template 函数受到正则表达式拒绝服务 (ReDoS) 的攻击。
follow-redirects project信息暴露漏洞
信息暴露
Exposure of Sensitive Information to an Unauthorized Actor in NPM follow-redirects prior to 1.14.8.
Guzzle是guzzlehttp个人开发者的一个 PHP HTTP 客户端,可以轻松发送 HTTP 请求并轻松与 Web 服务集成。
Guzzle 7.0.0版本至7.4.3版本,以及6.5.6之前的版本存在信息泄露漏洞,该漏洞允许恶意服务器为不相关的域设置cookie,攻击者可以利用该漏洞从Guzzle 客户端登录到他们的帐户,并从其帐户的安全日志中检索私有 API 请求。
node-tar是一款用于文件压缩/解压缩的软件包。
npm node-tar 存在路径遍历漏洞,该漏洞源于4.4.18、5.0.10和6.1.9之前的npm包“tar”(又名node-tar)存在任意文件创建覆盖和任意代码执行漏洞。攻击者可利用该漏洞访问受限目录之外的位置。
node-forge 输入验证错误漏洞
动态确定对象属性修改的控制不恰当
node-forge是一个应用软件。一个用于 node-forge 的 WebJar。
所有版本的node-forge软件包都易于通过setPath函数受到原型污染。
yargs-parser 输入验证错误漏洞
输入验证不恰当
yargs-parser是一款选项解析器。
yargs-parser 13.1.2之前版本、14.0.0及之后版本(15.0.1版本已修复)和16.0.0及之后版本(18.1.1版本已修复)中存在输入验证错误漏洞。攻击者可借助‘__proto__’payload利用该漏洞添加或修改Object.prototype属性。
URL -parse 输入验证错误漏洞
跨站重定向
Arnout Kazemier url-parse是美国Arnout Kazemiere(Arnout Kazemier)个人开发者的一个应用软件。提供url解析。
URL -parse 存在输入验证错误漏洞,该漏洞源于URL -parse容易被URL重定向到不可信站点
评论