node-tar是一款用于文件压缩/解压缩的软件包。
npm node-tar 存在路径遍历漏洞,该漏洞源于4.4.18、5.0.10和6.1.9之前的npm包“tar”(又名node-tar)存在任意文件创建覆盖和任意代码执行漏洞。攻击者可利用该漏洞访问受限目录之外的位置。
Google Chrome storage foundation代码执行漏洞
UAF
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google chrome存在安全漏洞,远程攻击者可利用漏洞在系统中执行任意代码。
needle 存在Authorization请求头泄露漏洞
信息暴露
needle 是 一款流式传输的HTTP客户端
needle 没有对重定向后的请求头做过滤处理,会把第一次请求的 Authorization 请求头也传递到重定向后的服务,导致 Authorization 请求头泄露。
攻击者可利用该漏洞被动窃取用户的 Authorization 数据。
Google Chromium 安全漏洞
源验证错误
在 101.0.4951.41 之前的 Google Chrome 输入中的不当实施允许远程攻击者通过精心制作的 HTML 页面欺骗跨域网站的内容。
node-tar是一款用于文件压缩/解压缩的软件包。
Npm Node-tar 中存在后置链接漏洞,该漏洞源于产品未对特殊字符做有效验证。攻击者可通过该漏洞在其他路径创建恶意文件。
@angular/core 存在跨站脚本漏洞
XSS
@angular/core 是一个包,可让您编写客户端 Web 应用程序,就好像您拥有更智能的浏览器一样。它还允许您使用 HTML 作为模板语言,并允许您扩展 HTML 的语法以清晰简洁地表达应用程序的组件。此软件包的受影响版本在启用 SSR 的情况下容易受到开发中的跨站点脚本 (XSS) 的攻击。
Andrey Sitnik postcss 安全漏洞
Andrey Sitnik postcss是Andrey Sitnik开源的一个应用程序,用于使用JS插件进行样式转换。
在漏洞版本中该程序在源映射解析期间受到正则表达式拒绝服务(ReDoS)的攻击。
Async是英国Caolan McMahon个人开发者的一个实用模块。用于使用异步 JavaScript。
Async 3.2.1 及之前版本存在安全漏洞,该漏洞源于 mapValues() 方法。攻击者可通过 mapValues() 方法获取权限。
Google Chrome 安全漏洞
整数下溢(超界折返)
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome存在安全漏洞,该漏洞源于整数角度下溢。
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome存在安全漏洞,该漏洞源于ANGLE中存在对象生命周期问题。
Google Chrome Swiftshader缓冲区溢出漏洞
跨界内存写
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome Swiftshader存在缓冲区溢出漏洞,远程攻击者可利用漏洞使缓冲区溢出,并在系统上执行任意代码,或导致应用程序崩溃。
css-what是一个CSS选择器解析器。
css-what 5.0.1之前版本存在安全漏洞,该漏洞源于css-what包并不能确保属性解析具有相对于输入大小的线性时间复杂度。目前没有详细漏洞细节提供。
nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。
nodejs-glob-parent 存在安全漏洞,该漏洞源于正则表达式拒绝服务。
Google Chrome Animation代码执行漏洞
UAF
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome Animation存在代码执行漏洞,攻击者可利用此漏洞在系统上执行任意代码或造成拒绝服务情况。
mixin-deep 参数注入漏洞
参数注入或修改
mixin-deep是一款能够将对象属性混合到第一个对象中的模块。
mixin-deep 1.3.2之前版本和2.0.0版本中存在参数注入漏洞。该漏洞源于外部输入数据构造命令参数的过程中,网络系统或产品未正确过滤参数中的特殊字符。攻击者可利用该漏洞执行非法命令。
Google Chrome 安全漏洞
使用不兼容类型访问资源(类型混淆)
在 99.0.4844.84 之前的 Google Chrome 中的 V8 中的类型混淆允许远程攻击者通过精心设计的 HTML 页面潜在地利用堆损坏。
Google Chrome 资源管理错误漏洞
UAF
在 99.0.4844.74 之前的 Google Chrome 中的 ANGLE 中使用 after free 允许远程攻击者通过精心设计的 HTML 页面潜在地利用堆损坏。
tar 是用于 Node.js 的全功能 Tar。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
google chrome使用不兼容类型访问资源(类型混淆)漏洞
使用不兼容类型访问资源(类型混淆)
在 100.0.4896.88 之前的 Google Chrome 中 V8 中的类型混淆允许远程攻击者通过精心设计的 HTML 页面潜在地利用堆损坏。
在 101.0.4951.41 之前的 Google Chrome 中的 ANGLE 中使用 after free 允许远程攻击者通过精心设计的 HTML 页面潜在地利用堆损坏。
评论