Tmont Pug是 (Tmont)开源的一个应用软件。提供了优化html的方式。
Pug 存在注入漏洞,攻击者可利用该漏洞编译器的“pretty”选项。
Async是英国Caolan McMahon个人开发者的一个实用模块。用于使用异步 JavaScript。
Async 3.2.1 及之前版本存在安全漏洞,该漏洞源于 mapValues() 方法。攻击者可通过 mapValues() 方法获取权限。
node-redis是一个应用软件。一个高性能Node.js Redis客户端。
Node-redis 存在资源管理错误漏洞,该漏洞源于客户端处于监视模式时,用于检测监视消息的regex开始可能导致某些字符串的指数回溯。会导致拒绝服务。
MongoDB bson JavaScript模块安全漏洞
MongoDB bson JavaScript module(又名js-bson)是一个使用在MongoDB中的BSON(Binary JSON)解析器。
MongoDB bson JavaScript模块1.0.5版本之前的0.5.0版本至1.0.x版本中的lib/bson/decimal128.js文件的‘Decimal128.fromString()’函数存在拒绝服务漏洞。攻击者可借助较长的不可信字符串利用该漏洞造成拒绝服务。
extend module是一个jQuery的经典extend()方法的端口。
extend 2.0.2之前版本和3.0.0版本至3.0.2版本中存在注入漏洞,该漏洞源于用户输入构造命令、数据结构或记录的操作过程中,网络系统或产品缺乏对用户输入数据的正确验证,未过滤或未正确过滤掉其中的特殊元素,导致系统或产品产生解析或解释方式错误。
Automattic Mongoose访问控制绕过漏洞
输入验证不恰当
Automattic Mongoose是一款适用于异步环境的MongoDB对象建模工具。
Automattic Mongoose 5.7.4及更早版本存在访问控制绕过漏洞,攻击者可利用该漏洞绕过访问控制。
npm package morgan 安全漏洞
命令注入
npm package morgan 1.9.1之前版本中存在命令注入漏洞,该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
Components trim 安全漏洞
拒绝服务
Components trim是Components团队的一个用于去除字符串两端空格的 Npm 代码库。
Service trim 所有版本存在安全漏洞,该漏洞源于容易受到通过trim()的正则表达式拒绝服务的攻击。
评论