eslint 是一个用于 JavaScript 和 JSX 的可插拔 linting 实用程序。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
lodash 是一个现代 JavaScript 实用程序库,提供模块化、性能和附加功能。由于对 CVE-2020-8203 的修复不完整,此软件包的受影响版本容易受到 zipObjectDeep 中的原型污染。
jQuery是美国John Resig个人开发者的一套开源、跨浏览器的JavaScript库。该库简化了HTML与JavaScript之间的操作,并具有模块化、插件扩展等特点。
jQuery 3.0.0之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
lodash是一个提供模块化、性能和附加功能的现代 JavaScript 实用程序库。
4.17.21 之前的 Lodash 版本容易通过模板函数进行命令注入。
Mermaid是一个应用软件。使用文本和代码创建图表和可视化。
Mermaid中存在漏洞。暂无该漏洞相关信息,详情请关注厂商主页。
node-tar是一款用于文件压缩/解压缩的软件包。
npm node-tar 存在路径遍历漏洞,该漏洞源于4.4.18、5.0.10和6.1.9之前的npm包“tar”(又名node-tar)存在任意文件创建覆盖和任意代码执行漏洞。攻击者可利用该漏洞访问受限目录之外的位置。
elliptic 是一个简单的 javascript 实现中的快速椭圆曲线密码学。此软件包的受影响版本容易受到时序攻击。
tar 是用于 Node.js 的全功能 Tar。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
Moment.js 是一个 JavaScript 日期库。用于解析、验证、操作和格式化日期。
Moment.js 的 npm 版本中处理目录遍历序列时对于输入验证不严格导致可以构造特制的 HTTP 请求读取系统上的任意文件。
攻击者可利用该漏洞访问系统敏感文件。
highlight.js 存在拒绝服务漏洞
拒绝服务
highlight.js 是一个用 JavaScript 编写的语法荧光笔。它可以在浏览器和服务器上工作。它几乎适用于任何标记,不依赖于任何框架,并且具有自动语言检测功能。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击,这些攻击通过多语言突出显示中的指数和多项式灾难性回溯进行。
lodash 资源管理错误漏洞
不加限制或调节的资源分配
lodash是一款开源的JavaScript实用程序库。
lodash 4.7.11之前版本中的Date handler存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。
Mermaid是一个应用软件。使用文本和代码创建图表和可视化。
Mermaid 8.13.8之前版本存在输入验证错误漏洞,攻击者可利用该漏洞通过恶意图表在阅读图表的机器上运行javascript代码。
Hoek是一个hapi系统的实现。
Hoek 4.2.0之前版本和5.0.3之前的5.0.x版本中存在访问控制错误漏洞。本地攻击者可借助‘merge’和‘applyToDefaults’函数利用该漏洞修改‘Object’的原型。
Indutny Elliptic 加密问题漏洞
密码算法不安全
Indutny Elliptic是Indutny个人开发者的一个基于Javascript为应用提供快速椭圆曲线加密的代码库。
Indutny Elliptic 存在安全漏洞,该漏洞源于没有检查来确认公钥。
Moment.js 是一个 JavaScript 日期库。用于解析、验证、操作和格式化日期。
Moment.js 在处理嵌套 rfc2822 注释内容时正则表达式执行时间不断的指数增大,导致服务不可用。
攻击者可利用该漏洞使目标服务停止响应甚至崩溃。
markdown-it 存在拒绝服务漏洞
拒绝服务
markdown-it 是一个现代的可插拔 Markdown 解析器。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
fstream 后置链接漏洞
在文件访问前对链接解析不恰当(链接跟随)
fstream是一个用于读取和写入文件的库。
fstream 1.0.12之前版本中的‘fstream.DirWriter()’函数存在后置链接漏洞。该漏洞源于网络系统或产品未正确过滤表示非预期资源的链接或者快捷方式的文件名。攻击者可利用该漏洞访问非法的文件路径。
Async是英国Caolan McMahon个人开发者的一个实用模块。用于使用异步 JavaScript。
Async 3.2.1 及之前版本存在安全漏洞,该漏洞源于 mapValues() 方法。攻击者可通过 mapValues() 方法获取权限。
jsonpointer类型混淆漏洞
使用不兼容类型访问资源(类型混淆)
jsonpointer是开源的一个简单的JSON寻址的软件包。jsonpointer存在安全漏洞,该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。 目前没有详细的漏洞细节提供。
js-yaml 是一种人性化的数据序列化语言。此软件包的受影响版本容易受到拒绝服务 (DoS) 的攻击。
评论