extend module 输入验证错误漏洞
输入验证不恰当
extend module是一个jQuery的经典extend()方法的端口。 deep-extend node模块0.5.0及之前版本中的‘utilities’函数存在输入验证错误漏洞。攻击者可利用该漏洞造成服务器崩溃或返回500。
CVE-2018-3750 MPS-2018-8705
2022-08-08 20:23
Google Firebase Js Sdk原型污染漏洞
Google Firebase Js Sdk是美国谷歌(Google)公司的一个用于连接Firebase后端服务的客户端代码库。firebase/util 0.3.4之前版本存在原型污染漏洞,该漏洞源于DeepCopy.ts中的deepExtend函数。攻击者可利用该漏洞可以覆盖和污染程序的对象原型。
CVE-2020-7765 MPS-2020-16553
2022-08-08 20:23
Elliptic package 输入验证错误漏洞
整数溢出或超界折返
Elliptic package是一款基于JavaScript的椭圆曲线密码库。 Elliptic package 6.5.2版本(Node.js)中存在安全漏洞。攻击者可利用该漏洞提升权限。
CVE-2020-13822 MPS-2020-8202
2022-08-08 20:23
lodash 命令注入漏洞
代码注入
lodash是一个提供模块化、性能和附加功能的现代 JavaScript 实用程序库。 4.17.21 之前的 Lodash 版本容易通过模板函数进行命令注入。
CVE-2021-23337 MPS-2021-2638
2022-08-08 20:23
Npm Node-tar 后置链接漏洞
node-tar是一款用于文件压缩/解压缩的软件包。 Npm Node-tar 中存在后置链接漏洞,该漏洞源于产品未对特殊字符做有效验证。攻击者可通过该漏洞在其他路径创建恶意文件。
CVE-2021-37712 MPS-2021-28488
2022-08-08 20:23
shelljs 安全漏洞
特权管理不恰当
shelljs是基于Node.js API 的 Unix shell 命令的可移植(Windows/Linux/OS X)实现。 shelljs存在安全漏洞,该漏洞源于不适当的权限管理,攻击者可利用该漏洞进行越权访问。
CVE-2022-0144 MPS-2022-0508
2022-08-08 20:23
ejs 存在代码注入漏洞
代码注入
ejs 是一个流行的 JavaScript 模板引擎。此软件包的受影响版本容易受到通过渲染和渲染文件的任意代码注入的攻击。
MPS-2022-13642
2022-08-08 20:23
lodash 存在拒绝服务漏洞
拒绝服务
lodash 是一个现代 JavaScript 实用程序库,提供模块化、性能和附加功能。此软件包的受影响版本容易通过 setWith 和 set 函数受到原型污染。
MPS-2022-13842
2022-08-08 20:23
mixin-deep 参数注入漏洞
参数注入或修改
mixin-deep是一款能够将对象属性混合到第一个对象中的模块。 mixin-deep 1.3.2之前版本和2.0.0版本中存在参数注入漏洞。该漏洞源于外部输入数据构造命令参数的过程中,网络系统或产品未正确过滤参数中的特殊字符。攻击者可利用该漏洞执行非法命令。
CVE-2019-10746 MPS-2019-10507
2022-08-08 20:23
serialize-to-js 跨站脚本漏洞
XSS
serialize-to-js是一款能够将对象序列化为字符串的软件包。 serialize-to-js(NPM)3.0.1之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
CVE-2019-16772 MPS-2019-15918
2022-08-08 20:23
node-forge 输入验证错误漏洞
动态确定对象属性修改的控制不恰当
node-forge是一个应用软件。一个用于 node-forge 的 WebJar。 所有版本的node-forge软件包都易于通过setPath函数受到原型污染。
CVE-2020-7720 MPS-2020-12281
2022-08-08 20:23
minimist 输入验证错误漏洞
原型污染
minimist是一款命令行参数解析工具。 minimist 1.2.2之前版本存在输入验证错误漏洞。攻击者可借助‘constructor’和‘__proto__’ payload利用该漏洞添加或修改Object.prototype的属性。
CVE-2020-7598 MPS-2020-3516
2022-08-08 20:23
node-tar 路径遍历漏洞
路径遍历
node-tar是一款用于文件压缩/解压缩的软件包。 npm node-tar 存在路径遍历漏洞,该漏洞源于4.4.18、5.0.10和6.1.9之前的npm包“tar”(又名node-tar)存在任意文件创建覆盖和任意代码执行漏洞。攻击者可利用该漏洞访问受限目录之外的位置。
CVE-2021-37713 MPS-2021-28489
2022-08-08 20:23
mocha 存在不正确的正则表达式漏洞
不正确的正则表达式
mocha 是一个用于 node.js 和浏览器的 javascript 测试框架。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
MPS-2022-13886
2022-08-08 20:23
Digital Bazaar Forge 数据伪造问题漏洞
密码学签名的验证不恰当
Digital Bazaar Forge是美国Digital Bazaar公司的一个 Tls 在 Javascript 中的本机实现以及用于编写基于加密和网络密集型 Web 应用程序的开源工具。 Forge 1.3.0 版本之前 RSA PKCS 存在数据伪造问题漏洞,该漏洞源于 RSA PKCS 签名验证码对摘要算法结构的检查较为宽松。攻击者可以通过精心设计的结构窃取填充字节并在使用低公共指数时使用 PKCS#1 编码消息的未检查部分来伪造签名。
CVE-2022-24771 MPS-2022-3738
2022-08-08 20:23
url-parse 安全漏洞
url-parse是一款跨Node.js和浏览器环境的小型URL解析器。 url-parse 1.4.3之前版本中存在安全漏洞,该漏洞源于程序没有进行正确的解析,导致返回错误的主机名。远程攻击者可利用该漏洞实施服务器端请求伪造攻击、开放重定向攻击或绕过身份验证协议。
CVE-2018-3774 MPS-2018-11050
2022-08-08 20:23
kind-of注入漏洞
将资源暴露给错误范围
kind-of是一款JavaScript类型检查软件包。 kind-of v6.0.2版本中的index.js文件的‘ctorName’函数存在注入漏洞,攻击者可利用该漏洞覆盖内部属性,操纵类型检查的结果。
CVE-2019-20149 MPS-2019-17164
2022-08-08 20:23
codecov-node npm module 操作系统命令注入漏洞
命令注入
codecov-node npm module是一款应用程序全球覆盖率模块。 codecov-node npm module 3.6.5之前版本中存在安全漏洞。远程攻击者可利用该漏洞执行任意命令。
CVE-2020-7597 MPS-2020-2560
2022-08-08 20:23
Digital Bazaar Forge 输入验证错误漏洞
跨站重定向
Digital Bazaar Forge是美国Digital Bazaar公司的一个 Tls 在 Javascript 中的本机实现以及用于编写基于加密和网络密集型 Web 应用程序的开源工具。 Digital Bazaar Forge 中存在输入验证错误漏洞,该漏洞源于产品允许URL重定向到不受信任的站点。
CVE-2022-0122 MPS-2022-0421
2022-08-08 20:23
node-forge 存在拒绝服务漏洞
node-forge 是 JavaScript 中 TLS(和各种其他加密工具)的本机实现。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 攻击。
MPS-2022-13022
2022-08-08 20:23
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页