flat 是一个使用嵌套的 Javascript 对象并将其展平,或使用分隔键取消展平对象此包的受影响版本容易受到原型污染。
istanbul-reports 存在通过 window.opener 访问使用指向不受信任目标的 Web 链接漏洞
通过 window.opener 访问使用指向不受信任目标的 Web 链接
由于指向 https://istanbul 的链接中没有 rel 属性,因此该软件包的受影响版本容易受到反向 Tabnabbing 的攻击。
parse-url是Ionică Bizău个人开发者的一个支持 git url 的高级 url 解析器。
parse-url 7.0.0之前版本存在信息泄露漏洞,该漏洞源于会将用户cookie 和其他授权标头一起转发,攻击者利用该漏洞可以获取用户信息。
Yargs Y18n 输入验证错误漏洞
动态确定对象属性修改的控制不恰当
Yargs Y18n是Yargs个人开发者的一个类似I18n的由Js编写的代码库。
y18n before 3.2.2, 4.0.1 and 5.0.5版本存在输入验证错误漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
serialize-javascript 代码问题漏洞
反序列化
Verizon serialize-javascript是美国威瑞森电信(Verizon)公司的一款支持将JavaScript序列化为 JSON超集的软件包。
serialize-javascript 3.1.0之前版本中存在代码问题漏洞。远程攻击者可借助index.js文件中的‘deleteFunctions’函数利用该漏洞注入任意代码。
handlebars是一款语义化的Web模板系统。
handlebars 4.7.7之前版本存在安全漏洞,该漏洞源于当选择某些编译选项来编译来自不可信源的模板时,容易受到原型污染的影响。
lodash 是一个现代 JavaScript 实用程序库,提供模块化、性能和附加功能。由于对 CVE-2020-8203 的修复不完整,此软件包的受影响版本容易受到 zipObjectDeep 中的原型污染。
lodash是一款开源的JavaScript实用程序库。 lodash 4.17.15及之前版本中存在输入验证错误漏洞。远程攻击者可借助'merge'、'mergeWith'和'defaultsDeep'函数利用该漏洞在系统上执行任意代码。
Mikaelbr Node-notifier 操作系统命令注入漏洞
命令注入
Mikaelbr Node-notifier是Mikaelbr个人开发者的一个基于Javascript的用于为Mac、Windows、Linux发送统治的代码库。
node-notifier 9.0.0之前版本存在安全漏洞,该漏洞允许攻击者可利用该漏洞在Linux机器上运行任意命令,因为在传递数组时,选项参数没有被清除。
nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。
nodejs-glob-parent 存在安全漏洞,该漏洞源于正则表达式拒绝服务。
cypress 存在缺省权限不正确漏洞
缺省权限不正确
此软件包的受影响版本容易受到不安全配置的影响。
标记是一个低级编译器,用于解析降价而不需要长时间缓存或阻塞。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
parse-path 安全漏洞
通过用户控制密钥绕过授权机制
parse-path是Ionică Bizău个人开发者的一个库。用于解析路径。
parse-path 5.0.0之前版本存在安全漏洞,该漏洞源于应用中存在用户控制的密钥缺少有效的限制。攻击者利用该漏洞可以绕过授权。
Highlight.js 是一个用 JavaScript 编写的语法高亮器。 Highlight.js 9.18.2 和 10.1.2 之前的版本容易受到原型污染。可以制作恶意 HTML 代码块,在突出显示期间导致基础对象原型的原型污染。如果您允许用户通过解析 Markdown 代码块(或类似代码块)将自定义 HTML 代码块插入您的页面/应用程序,并且不过滤用户可以提供的语言名称,您可能会受到攻击。污染应该只是无害的数据,但这可能会导致不期望这些属性存在的应用程序出现问题,并可能导致奇怪的行为或应用程序崩溃,即潜在的 DOS 向量。如果您的网站或应用程序不呈现用户提供的数据,它应该不受影响。版本 9.18.2 和 10.1.2 及更高版本包括针对此漏洞的修复。如果您使用的是版本 7 或 8,我们鼓励您升级到较新的版本。
Async是英国Caolan McMahon个人开发者的一个实用模块。用于使用异步 JavaScript。
Async 3.2.1 及之前版本存在安全漏洞,该漏洞源于 mapValues() 方法。攻击者可通过 mapValues() 方法获取权限。
handlebars是一款语义化的Web模板系统。
handlebars 4.7.7版本之前存在安全漏洞,该漏洞源于在选择某些编译选项来编译来自不受信任的源的模板时,handlebars容易受到远程代码执行(Remote Code Execution, RCE)的攻击。
github ws是一个应用软件。一种易于使用,运行迅速且经过全面测试的WebSocket客户端和服务器实现的方法。
漏洞版本中“Sec-Websocket-Protocol”标头的一个特殊的值可以用来显著降低ws服务器的速度,从而导致拒绝服务漏洞。
shelljs是基于Node.js API 的 Unix shell 命令的可移植(Windows/Linux/OS X)实现。
shelljs存在安全漏洞,该漏洞源于不适当的权限管理,攻击者可利用该漏洞进行越权访问。
highlight.js 存在拒绝服务漏洞
拒绝服务
highlight.js 是一个用 JavaScript 编写的语法荧光笔。它可以在浏览器和服务器上工作。它几乎适用于任何标记,不依赖于任何框架,并且具有自动语言检测功能。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击,这些攻击通过多语言突出显示中的指数和多项式灾难性回溯进行。
Moment.js 是一个 JavaScript 日期库。用于解析、验证、操作和格式化日期。
Moment.js 在处理嵌套 rfc2822 注释内容时正则表达式执行时间不断的指数增大,导致服务不可用。
攻击者可利用该漏洞使目标服务停止响应甚至崩溃。
评论