pathval <1.1.1 原型污染漏洞
原型污染
pathval 是Chai.js团队的一个用于基于 String 字符串来检索和设置对象的 Npm 代码库。
pathval 1.1.1之前版本存在原型污染漏洞。攻击者可以通过setPathValue函数对js原型对象进行修改,从而造成拒绝服务或远程代码执行。
Indutny Elliptic 加密问题漏洞
密码算法不安全
Indutny Elliptic是Indutny个人开发者的一个基于Javascript为应用提供快速椭圆曲线加密的代码库。
Indutny Elliptic 存在加密问题漏洞,该漏洞源于没有检查确认传递给派生函数的公钥点是否确实存在于secp256k1曲线上。这导致在执行许多 ECDH 操作后,可能会泄露私钥。
Lodash是一个开放源码的JavaScript库。
Lodash的漏洞版本容易通过 toNumber、trim 和 trimEnd 函数受到正则表达式拒绝服务 (ReDoS) 的攻击。
lodash是一个提供模块化、性能和附加功能的现代 JavaScript 实用程序库。
4.17.21 之前的 Lodash 版本容易通过模板函数进行命令注入。
Axios 是一个基于promise 网络请求库。
漏洞版本的axios 容易受到低效正则表达式复杂性的影响。
从而引发拒绝服务 (ReDoS) 的攻击。
nodejs-tmpl 容易受到低效正则表达式复杂性的影响
prompts 正则表达式拒绝服务漏洞
ReDoS
prompts 是一款用作交互式提示的js库。
此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
Ruy Adorno hosted-git-info 正则表达式拒绝服务漏洞
拒绝服务
Ruy Adorno hosted-git-info是Ruy Adorno开源的一个应用程序。提供识别和转换协议之间的各种git主机URL。
hosted-git-info before 3.0.8 存在安全漏洞,该漏洞源于容易受到来自fromUrl()的shortcutMatch正则表达式拒绝服务(ReDoS)的攻击。
minimist是一款命令行参数解析工具。
minimist <=1.2.5存在安全漏洞,该漏洞源于容易受到通过文件 index.js、函数 setKey()的原型污染。
browserslist 存在正则表达式拒绝服务漏洞
拒绝服务
browserslist是一个应用软件。用于在不同前端工具之间共享目标浏览器和Node.js版本的配置。
browserslist from 4.0.0版本至4.16.5版本存在安全漏洞,该漏洞源于在解析查询时容易受到正则表达式拒绝服务(ReDoS)的攻击。
npm path-parse是美国npm公司的一个应用插件。提供一个路径解析功能。
path-parse 存在安全漏洞,该漏洞源于受到通过splitDeviceRe、splitTailRe和splitPathRe正则表达式的正则表达式拒绝服务(ReDoS)的攻击。
github ws是一个应用软件。一种易于使用,运行迅速且经过全面测试的WebSocket客户端和服务器实现的方法。
漏洞版本中 Sec-Websocket-Protocol 标头的一个特殊的值可以用来显著降低ws服务器的速度,从而导致拒绝服务漏洞。
shelljs < 0.8.5 存在特权管理不恰当漏洞
权限管理不当
shelljs 是一个用于 Node.js 的 Unix shell 命令包装器。
该包的受影响版本存在不当特权管理漏洞。当 ShellJS 用于创建可能以 root 用户身份运行的 shell 脚本时,系统上权限较低的用户可以从特权进程的标准输出中泄露敏感信息(取决于实现方式),或通过触发 EACCESS 错误时关闭特权 ShellJS 进程的 exec 函数。
注意:这仅影响 shell.exec() 的同步版本。
follow-redirects <1.14.7 存在信息泄露漏洞
侵犯隐私
Follow Redirects是一个自动遵循 Http(s) 重定向的 Node.js 模块。
Follow Redirects 存在安全漏洞,该漏洞源于follow-redirects容易暴露私人个人信息给未经授权的参与者。
istanbul-reports<3.1.3 反向 Tabnabbing漏洞
通过 window.opener 访问使用指向不受信任目标的 Web 链接
Istanbul 使用行计数器检测 ES5 和 ES2015+ JavaScript 代码,以便您可以跟踪单元测试对代码库的运行情况。
Istanbul的漏洞版本容易受到反向 Tabnabbing 的攻击,攻击者可以利用此漏洞将用户重定向到包含恶意脚本代码的页面。
node-fetch 信息泄露漏洞
未授权敏感信息泄露
node-fetch是将Fetch API引入 Node.js的轻量级模块。
node-fetch 中存在信息泄露漏洞,该漏洞易受敏感信息暴露给未经授权的参与者的影响。
follow-redirects<1.14.8 信息暴露漏洞
未授权敏感信息泄露
follow-redirects 是一款自动跟随重定向的 Node 的 http 和 https 模块替换的工具。
follow-redirects 的漏洞版本存在信息暴漏漏洞,在 HTTPS 到 HTTP 重定向期间由于使用了不安全的 HTTP 协议,该协议不验证请求发送到的主机名,攻击者可以利用此漏洞在线监听传输的 Authorization 标头或执行 MITM 攻击。
npm node-semver是美国npm公司的一个库。
node-semver 7.5.2之前版本存在安全漏洞,该漏洞源于容易受到正则表达式拒绝服务(ReDoS)的攻击。
此软件包的受影响版本在提供无效选择器 _:-ms-fullscreen 时容易受到拒绝服务 (DoS) 的攻击。
minimatch是isaacs个人开发者的一个 javascript 中的全局匹配器。
minimatch存在安全漏洞,该漏洞源于当使用特定参数调用braceExpand函数时,出现正则表达式拒绝服务(ReDoS),从而导致拒绝服务。
评论