lodash是一款开源的JavaScript实用程序库。 lodash 4.17.15及之前版本中存在输入验证错误漏洞。远程攻击者可借助'merge'、'mergeWith'和'defaultsDeep'函数利用该漏洞在系统上执行任意代码。
minimist是一款命令行参数解析工具。
minimist 1.2.2之前版本存在输入验证错误漏洞。攻击者可借助‘constructor’和‘__proto__’ payload利用该漏洞添加或修改Object.prototype的属性。
cached-path-relative 安全漏洞
原型污染
cached-path-relative是一个开源的npm包。
cached-path-relative 1.1.0 之前版本存在安全漏洞,该漏洞源于对于缓存变量设置实现存在问题。软件容易受到原型污染。
Growl是一套支持Node.js的通知系统。
Growl 1.10.2之前版本中存在安全漏洞,该漏洞源于在将输入传递到shell命令之前,程序未能正确的对其进行过滤。攻击者可利用该漏洞执行任意命令。
lodash是一个提供模块化、性能和附加功能的现代 JavaScript 实用程序库。
4.17.21 之前的 Lodash 版本容易通过模板函数进行命令注入。
acorn 是一个用 JavaScript 编写的小巧、快速的 JavaScript 解析器。此软件包的受影响版本通过 /[x-\ud800]/u 形式的正则表达式容易受到正则表达式拒绝服务 (ReDoS) 的攻击,这会导致解析器进入无限循环。
minimatch 是一个最小匹配实用程序。此软件包的受影响版本容易通过复杂和非法的正则表达式受到正则表达式拒绝服务 (ReDoS) 的攻击。
Components trim 安全漏洞
拒绝服务
Components trim是Components团队的一个用于去除字符串两端空格的 Npm 代码库。
Service trim 所有版本存在安全漏洞,该漏洞源于容易受到通过trim()的正则表达式拒绝服务的攻击。
handlebars 是 Mustache 模板语言的扩展。此软件包的受影响版本容易受到任意代码执行的影响。
handlebars 是 Mustache 模板语言的扩展。此软件包的受影响版本容易受到原型污染。
is-my-json-valid 存在代码注入漏洞
代码注入
is-my-json-valid 是一个 JSONSchema / 有序验证器,它使用代码生成非常快。此软件包的受影响版本容易通过 formatName 函数执行任意代码。
uglify-js 存在ReDoS漏洞
ReDoS
uglify-js 是一个 JavaScript 解析器、压缩器、压缩器和美化工具包。此软件包的受影响版本容易通过 string_template 和 decode_template 函数受到正则表达式拒绝服务 (ReDoS) 的攻击。
Elliptic package 输入验证错误漏洞
整数溢出或超界折返
Elliptic package是一款基于JavaScript的椭圆曲线密码库。
Elliptic package 6.5.2版本(Node.js)中存在安全漏洞。攻击者可利用该漏洞提升权限。
Indutny Elliptic 加密问题漏洞
密码算法不安全
Indutny Elliptic是Indutny个人开发者的一个基于Javascript为应用提供快速椭圆曲线加密的代码库。
Indutny Elliptic 存在安全漏洞,该漏洞源于没有检查来确认公钥。
Npm underscore 代码注入漏洞
代码注入
Underscore.js 是一个用于 JavaScript 的实用工具带库,它为常见的功提供支持,而无需扩展任何核心 JavaScript 对象。
漏洞版本中存在代码注入漏洞,攻击者可利用该漏洞容易通过模板函数执行任意代码。
js-yaml 是一种人性化的数据序列化语言。此软件包的受影响版本容易受到拒绝服务 (DoS) 的攻击。
lodash 是一个现代 JavaScript 实用程序库,提供模块化、性能和附加功能。此软件包的受影响版本容易通过 setWith 和 set 函数受到原型污染。
js-yaml 是一种人性化的数据序列化语言。此软件包的受影响版本容易受到任意代码执行的影响。
handlebars是一款语义化的Web模板系统。
handlebars 4.3.0之前版本中存在注入漏洞。攻击者可借助特制的payloads利用该漏洞执行任意代码。
nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。
nodejs-glob-parent 存在安全漏洞,该漏洞源于正则表达式拒绝服务。