mime module是一个MIME类型模块。
mime模块中存在安全漏洞。攻击者可借助不可信的用户输入利用该漏洞造成拒绝服务。
Axios是一款基于Promise(异步编程的一种解决方案)的HTTP客户端。
Axios NPM package 0.21.0版本存在安全漏洞,攻击者可利用该漏洞能够通过提供一个URL绕过代理,该URL通过重定向响应一个受限制的主机或IP地址。
Immer是Immer社区的一个基于Javascript的状态管理库。。
Immer 所有版本存在安全漏洞,目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
markdown-it 存在拒绝服务漏洞
拒绝服务
markdown-it 是一个现代的可插拔 Markdown 解析器。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
Digital Bazaar Forge 数据伪造问题漏洞
密码学签名的验证不恰当
Digital Bazaar Forge是美国Digital Bazaar公司的一个 Tls 在 Javascript 中的本机实现以及用于编写基于加密和网络密集型 Web 应用程序的开源工具。
Forge 1.3.0 版本之前 RSA PKCS 存在数据伪造问题漏洞,该漏洞源于 RSA PKCS 签名验证码对摘要算法结构的检查较为宽松。攻击者可以通过精心设计的结构窃取填充字节并在使用低公共指数时使用 PKCS#1 编码消息的未检查部分来伪造签名。
nanoid是用于 JavaScript 的小型、安全、URL 友好、唯一的字符串 ID 生成器。
nanoid安全中存在漏洞,该漏洞源于nanoid 容易通过 valueOf() 函数受到信息暴露的影响,该函数允许重现最后生成的 id。
Andrey Sitnik postcss 安全漏洞
Andrey Sitnik postcss是Andrey Sitnik开源的一个应用程序,用于使用JS插件进行样式转换。
在漏洞版本中该程序在源映射解析期间受到正则表达式拒绝服务(ReDoS)的攻击。
Immer 安全漏洞
使用不兼容类型访问资源(类型混淆)
Immer是Immer社区的一个基于Javascript的状态管理库。。
immer 9.0.6之前版本存在安全漏洞,该漏洞源于当path参数中使用的用户提供的密钥是数组时,可能导致绕过CVE-2020-28477。
Digital Bazaar Forge 输入验证错误漏洞
跨站重定向
Digital Bazaar Forge是美国Digital Bazaar公司的一个 Tls 在 Javascript 中的本机实现以及用于编写基于加密和网络密集型 Web 应用程序的开源工具。
Digital Bazaar Forge 中存在输入验证错误漏洞,该漏洞源于产品允许URL重定向到不受信任的站点。
Url-Parse是一个跨Node.js和浏览器环境无缝工作的小型Url解析器。NPM url-parse 1.5.8之前版本存在授权绕过漏洞,攻击者可利用该漏洞通过用户控制的密钥绕过授权。
npm node-fetch 安全漏洞
不加限制或调节的资源分配
node-fetch 2.6.1和3.0.0-beta版本中存在安全漏洞。该漏洞源于内容大小超过限制时,将永远不会抛出FetchError。
Axios 是一个基于promise 网络请求库。
漏洞版本的axios 容易受到低效正则表达式复杂性的影响,从而引发拒绝服务 (ReDoS) 的攻击。
nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。
nodejs-glob-parent 存在安全漏洞,该漏洞源于正则表达式拒绝服务。
Digital Bazaar Forge数据伪造问题漏洞
密码学签名的验证不恰当
Digital Bazaar Forge是美国Digital Bazaar公司的一个Tls在Javascript中的本机实现以及用于编写基于加密和网络密集型Web应用程序的开源工具。Digital Bazaar Forge1.3.0之前版本存在数据伪造问题漏洞,该漏洞源于SA PKCS#1 v1.5签名验证码无法正确检查DigestInfo以获得正确的 ASN.1 结构。攻击者可以发送特殊的签名利用该漏洞以验证包含无效结构但有效摘要的签名。
Markdown-It是一个 Markdown 解析器。
Markdown-It存在安全漏洞,该漏洞源于Markdown—它是一个Markdown解析器。在1.3.2版本之前,长度大于5万个字符的特殊模式会显著降低解析器的速度。用户应该升级到12.3.2版本以接收补丁。除了升级之外,没有已知的变通办法。
Moment.js 是一个 JavaScript 日期库。用于解析、验证、操作和格式化日期。
Moment.js 在处理嵌套 rfc2822 注释内容时正则表达式执行时间不断的指数增大,导致服务不可用。
攻击者可利用该漏洞使目标服务停止响应甚至崩溃。
stylelint 存在ReDoS漏洞
ReDoS
stylelint 是一种 linter,可帮助您避免错误并在样式中强制执行约定。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
Moment.js 是一个 JavaScript 日期库。用于解析、验证、操作和格式化日期。
Moment.js 的 npm 版本中处理目录遍历序列时对于输入验证不严格导致可以构造特制的 HTTP 请求读取系统上的任意文件。
攻击者可利用该漏洞访问系统敏感文件。
Unshiftio Url-parse 访问控制错误漏洞
Url-Parse是一个跨 Node.js 和浏览器环境无缝工作的小型 Url 解析器。
Unshiftio Url-parse 中存在访问控制错误漏洞,该漏洞源于产品对用户控制的密钥缺少有效的保护机制。攻击者可通过该漏洞绕过授权。以下产品及版本受到影响:Unshiftio Url-parse 1.5.9 之前版本。
NPM url-parse 安全漏洞
通过用户控制密钥绕过授权机制
Url-Parse是一个跨 Node.js 和浏览器环境无缝工作的小型 Url 解析器。
NPM url-parse 存在安全漏洞,该漏洞源于在1.5.6之前的NPM url-parse中,通过用户控制的密钥绕过授权。
评论