Medialize URI.js 输入验证错误漏洞
输入验证不恰当
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
Medialize URI.js 1.19.11之前版本存在输入验证错误漏洞,该漏洞源于CRHTLF导致无效的协议提取。
urijs 是一个用于处理 URL 的 Javascript 库。此软件包的受影响版本容易受到 parseQuery() 造成的原型污染。
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
URI.js before 1.19.6 存在安全漏洞,该漏洞源于对反斜杠的某些用法(例如http: /)进行了错误处理,并将URI解释为相对路径。
open 是一个跨平台的包,可以打开 URL、文件、可执行文件等内容。当传入未经处理的用户输入时,此软件包的受影响版本容易受到任意代码注入的影响。
urijs 安全漏洞
通过用户控制密钥绕过授权机制
urijs是一个Javascript URL 变异库。
urijs 1.19.8之前存在安全漏洞,该漏洞源于用户控制密钥绕过授权。
Medialize URI.js 安全漏洞
跨站重定向
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
GitHub存储库 1.19.10之前版本的 medialize/uri.js 存在安全漏洞,该漏洞源于medialize/uri.js 中打开重定向。
6.13.4 之前的 npm CLI 版本容易受到任意文件覆盖的影响。它无法防止现有的全局安装的二进制文件被其他软件包安装覆盖。例如,如果一个包被全局安装并创建了一个服务二进制文件,那么任何后续安装的包也创建一个服务二进制文件将覆盖以前的服务二进制文件。在本地安装和安装脚本中仍然允许此行为。此漏洞绕过使用 --ignore-scripts 安装选项的用户。
Joyent Node.js moment模块拒绝服务漏洞
拒绝服务
Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。moment是其中的一个JavaScript日期处理类库。
Joyent Node.js moment模块中存在安全漏洞。攻击者可借助特制的数据字符串利用该漏洞造成拒绝服务。
npm CLI 后置链接漏洞
UNIX符号链接跟随
6.13.3 之前的 npm CLI 版本容易受到任意文件写入的攻击。软件包可以在安装时通过 bin 字段创建指向 node_modules 文件夹之外的文件的符号链接。 package.json bin 字段中正确构造的条目将允许包发布者在安装包时创建指向用户系统上任意文件的符号链接。通过安装脚本仍然可以实现此行为。此漏洞绕过使用 --ignore-scripts 安装选项的用户。
Medialize URI.js 输入验证错误漏洞
输入验证不恰当
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
URI.js 存在输入验证错误漏洞,该漏洞源于允许通过使用反斜杠(``)字符后跟一个at(`@`)字符来欺骗主机名。 如果在安全决策中使用了主机名,则该决策可能不正确。 根据库的使用情况和攻击者的意图,影响可能包括允许/阻止列表绕过,开放重定向或其他不良行为。
npm CLI 日志信息泄露漏洞
日志敏感信息泄露
6.14.6 之前的 npm CLI 版本容易受到通过日志文件的信息泄露漏洞的影响。 CLI 支持诸如“<protocol> ://[<user> [:<password> ]@]<hostname> [:<port> ][:][/]<path> "。密码值未编辑,并打印到标准输出以及任何生成的日志文件。
Medialize URI.js 输入验证错误漏洞
跨站重定向
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
Medialize URI.js 存在输入验证错误漏洞,该漏洞源于 new URI 未能正确解析 https:/// ,该漏洞导致系统用户被定位到别的站点。
Moment.js 是一个 JavaScript 日期库。用于解析、验证、操作和格式化日期。
Moment.js 在处理嵌套 rfc2822 注释内容时正则表达式执行时间不断的指数增大,导致服务不可用。
攻击者可利用该漏洞使目标服务停止响应甚至崩溃。
Moment.js 是一个 JavaScript 日期库。用于解析、验证、操作和格式化日期。
Moment.js 的 npm 版本中处理目录遍历序列时对于输入验证不严格导致可以构造特制的 HTTP 请求读取系统上的任意文件。
攻击者可利用该漏洞访问系统敏感文件。
Npm是美国Npm公司的一款开源的软件包管理器。
Npm 5.7.0 2018-02-21 pre-release版本中存在安全漏洞。本地攻击者可利用该漏洞绕过文件系统访问限制。
Medialize URI.js 安全漏洞
跨站重定向
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
medialize/uri.js存在安全漏洞,目前暂无该漏洞信息,请随时关注CNNVD或厂商公告。
open 存在权限、特权和访问控制漏洞
权限、特权和访问控制
open 是一个跨平台的包,可以打开 URL、文件、可执行文件等内容。此软件包的受影响版本容易受到任意命令注入的影响。
nunjucks 是一个强大的模板引擎,具有继承、异步控制等功能(受 jinja2 启发)。此软件包的受影响版本容易受到原型污染。
6.13.3 之前的 npm CLI 版本容易受到任意文件写入的攻击。它无法阻止通过 bin 字段访问预期的 node_modules 文件夹之外的文件夹。 package.json bin 字段中正确构造的条目将允许包发布者在安装包时修改和/或访问用户系统上的任意文件。通过安装脚本仍然可以实现此行为。此漏洞绕过使用 --ignore-scripts 安装选项的用户。
评论