Yargs Y18n 输入原型污染漏洞
动态确定对象属性修改的控制不恰当
Yargs Y18n 是一个由JavaScript编写的类似 I18n 的代码库。
受影响版本中由于 Y18N 类处理语言文件时没有进行适当的清理,攻击者可通过 setLocale 函数修改对象原型的属性,远程执行恶意代码。
Mikaelbr Node-notifier 操作系统命令注入漏洞
OS命令注入
Mikaelbr Node-notifier是Mikaelbr个人开发者的一个基于Javascript的用于为Mac、Windows、Linux发送通知的代码库。
node-notifier 受影响版本由于选项参数在传递数组时没有被清晰导致存在命令注入漏洞,该漏洞允许攻击者可利用该漏洞在Linux机器上运行任意命令,
ansi-html <0.0.8 DoS 漏洞
拒绝服务
ansi-html 是一个js语言编写的组件,它可将(ANSI) 文本转换为 HTML。
ansi-html 存在DOS漏洞,攻击者可利用该漏洞使目标服务停止响应甚至崩溃。
lodash是一个提供模块化、性能和附加功能的现代 JavaScript 实用程序库。
4.17.21 之前的 Lodash 版本容易通过模板函数进行命令注入。
nth-check 正则表达式拒绝服务漏洞
ReDoS
由于 \s*(?:([+-]?) 在RE_NTH_ELEMENT中,具有量化的重叠邻接。在解析恶意的无效CSS nth检查时,此软件包的受影响版本容易受到常规表达式拒绝服务(ReDoS)的影响。
prompts 正则表达式拒绝服务漏洞
ReDoS
prompts 是一款用作交互式提示的js库。
此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
postcss 存在正则表达式拒绝服务漏洞
拒绝服务
Andrey Sitnik postcss是Andrey Sitnik开源的一个应用程序,用于使用JS插件进行样式转换。
在漏洞版本中由于攻击性的正则表达式,主要是由子模式sourceMappingURL=(.*),容易引起程序受到正则表达式拒绝服务的攻击。
github ws是一个应用软件。一种易于使用,运行迅速且经过全面测试的WebSocket客户端和服务器实现的方法。
漏洞版本中 Sec-Websocket-Protocol 标头的一个特殊的值可以用来显著降低ws服务器的速度,从而导致拒绝服务漏洞。
glob-parent < 5.1.2 存在拒绝服务漏洞
拒绝服务
nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。
nodejs-glob-parent 存在安全漏洞,该漏洞源于正则表达式拒绝服务。
Digital Bazaar Forge 存在输入验证错误漏洞
跨站重定向
Digital Bazaar Forge是美国Digital Bazaar公司的一个 Tls 在 Javascript 中的本机实现以及用于编写基于加密和网络密集型 Web 应用程序的开源工具。
Digital Bazaar Forge 中存在输入验证错误漏洞,该漏洞源于产品允许URL重定向到不受信任的站点。
EventSource 信息泄露漏洞
未授权敏感信息泄露
EventSource是一种 EventSource 客户端的纯 JavaScript 实现。
EventSource 2.0.2之前版本存在安全漏洞,该漏洞源于将敏感信息暴露给未经授权的 Actor。
istanbul-reports<3.1.3 反向 Tabnabbing漏洞
通过 window.opener 访问使用指向不受信任目标的 Web 链接
Istanbul 使用行计数器检测 ES5 和 ES2015+ JavaScript 代码,以便您可以跟踪单元测试对代码库的运行情况。
Istanbul的漏洞版本容易受到反向 Tabnabbing 的攻击,攻击者可以利用此漏洞将用户重定向到包含恶意脚本代码的页面。
node-forge <1.0.0 存在原型污染漏洞
原型污染
node-forge 是网络传输、密码学、密码、PKI、消息摘要和各种实用程序的 JavaScript 实现。
node-forge 的受影响版本容易受到通过伪造的原型污染,攻击者可以利用此漏洞注入其他值来覆盖或污染基础对象的 JavaScript 应用程序对象原型,从而导致拒绝服务。
node-forge 密码签名验证不当漏洞
密码学签名的验证不恰当
node-forge 是网络传输、密码学、密码、PKI、消息摘要和各种实用程序的 JavaScript 实现。
node-forge 的受影响版本容易受到加密签名验证不正确的影响。攻击者可以利用此漏洞通过精心设计的结构窃取填充字节,并在使用低公共指数时使用 PKCS # 1编码消息中未检查的部分来伪造签名,进而获取敏感数据或执行未经授权的代码。
node-forge 密码签名验证不当漏洞
密码学签名的验证不恰当
node-forge 是网络传输、密码学、密码、PKI、消息摘要和各种实用程序的JavaScript实现。
由于 RSA 的v1.5 签名验证码在解码ASN.1 结构PKCS#1后不检查尾随垃圾字节,因此 node-forge 的受影响版本容易受到密码签名验证不当的影响。DigestInfo使用低公共指数时,可以允许删除填充字节并添加垃圾数据以伪造签名。
node-forge 密码签名验证不当漏洞
密码学签名的验证不恰当
node-forge 是网络传输、密码学、密码、PKI、消息摘要和各种实用程序的JavaScript实现。
由于 RSA 的PKCS#1 v1.5签名验证码无法正确检查结构是否DigestInfo正确,因此该软件包的受影响版本容易受到密码签名验证不当的影响ASN.1。这可以导致成功验证包含无效结构但有效摘要的签名。
Express 中的 qs 模块存在原型污染漏洞
原型污染
Express 是一个基于 Node.js 的 Web 框架,qs 是一个具备附加安全特性的查询字符串(querystring)解析和序列化库,Express 默认使用 qs 模块进行查询字符串解析。
qs 的受影响版本中由于 parseObject 方法没有对 js 对象的 __proto__ 属性进行正确判断,导致攻击者可以通过 qs 解析具有过长数组属性的 js 对象造成拒绝服务。在 4.17.3 之前的 Express 会受到此漏洞的影响,未经身份验证的远程攻击者可以将 payload(如:a[__proto__]=b&a[__proto__]&a[length]=100000000)传入用于访问应用程序的 URL 的查询字符串中,在 qs 解析 URL 时导致 Express 应用程序的 Node 进程被挂起。
terser是terser个人开发者的一个用于 ES6+ 的 JavaScript 解析器、处理程序和压缩器工具包。
terser 4.8.1 之前版本、5.0.0 和 5.14.2 之前版本存在安全漏洞,该漏洞源于正则表达式的使用不安全,导致容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
npm node-semver是美国npm公司的一个库。
node-semver 7.5.2之前版本存在安全漏洞,该漏洞源于容易受到正则表达式拒绝服务(ReDoS)的攻击。
loader-utils 安全漏洞
不正确的正则表达式
loader-utils是webpack开源的一个用于 webpack 加载器的实用程序。
webpack loader-utils 2.0.0版本存在安全漏洞,该漏洞源于在interpolateName的interpoleName函数中发现包含正则表达式拒绝服务(ReDoS)漏洞。
评论