ini是一个用于Node的ini编码器/解码器。
该包的受影响版本存在原型污染漏洞。如果攻击者向使用ini.parse解析的应用程序提交恶意的INI文件,则会污染应用程序上的原型,攻击者可利用该漏洞执行恶意Javascript代码。
minimist是一款命令行参数解析工具。
minimist 1.2.2之前版本存在输入原型污染漏洞。
攻击者可借助 constructor 和 __proto__ 向 JavaScript 语言构造(例如对象)添加任意属性,通过覆盖原型对象的属性方法可能造成拒绝服务和远程代码执行的危害。
CasperJS是一款用于PhantomJS和SlimerJS浏览器的导航脚本和测试实用程序。
CasperJS所有版本中的 mergeObjects 函数存在输入验证错误漏洞。攻击者可利用该漏洞执行任意代码。
node-tar是一款用于文件压缩/解压缩的软件包。
node-tar存在路径遍历漏洞,该漏洞源于 node-tar 对绝对路径的清理不足。
导致攻击者可以任意文件创建/覆盖。
node-tar 路径遍历漏洞
在文件访问前对链接解析不恰当(链接跟随)
node-tar是一款用于文件压缩/解压缩的软件包。
node-tar存在路径遍历漏洞,该漏洞源于符号链接保护不足而导致攻击者可以任意文件创建/覆盖。
Npm Node-tar 后置链接漏洞
在文件访问前对链接解析不恰当(链接跟随)
node-tar是一款用于文件压缩/解压缩的软件包。
Npm Node-tar 中存在后置链接漏洞,该漏洞源于产品未对特殊字符做有效验证。攻击者可通过该漏洞在其他路径创建恶意文件。
Npm Node-tar 后置链接漏洞
在文件访问前对链接解析不恰当(链接跟随)
node-tar是一款用于文件压缩/解压缩的软件包。
Npm Node-tar 中存在后置链接漏洞,该漏洞源于产品未对特殊字符做有效验证。攻击者可通过该漏洞在其他路径创建恶意文件。
node-tar是一款用于文件压缩/解压缩的软件包。
npm node-tar 存在路径遍历漏洞,该漏洞源于4.4.18、5.0.10和6.1.9之前的npm包 tar (又名node-tar)存在任意文件创建覆盖和任意代码执行漏洞。攻击者可利用该漏洞访问受限目录之外的位置。
minimist是一款命令行参数解析工具。
minimist <=1.2.5存在安全漏洞,该漏洞源于容易受到通过文件 index.js、函数 setKey()的原型污染。
tar 是用于 Node.js 的全功能 Tar。
tar 的受影响版本去除尾部斜杠时如果文件的尾部含有很多反斜杠,tar.tract ()或 tar.list ()函数的性能会指数级下降,从而容易受到正则表达式拒绝服务 (ReDoS) 的攻击。攻击者可利用该漏洞使目标服务停止响应甚至崩溃。
npm node-semver是美国npm公司的一个库。
node-semver 7.5.2之前版本存在安全漏洞,该漏洞源于容易受到正则表达式拒绝服务(ReDoS)的攻击。
minimatch是isaacs个人开发者的一个 javascript 中的全局匹配器。
minimatch存在安全漏洞,该漏洞源于当使用特定参数调用braceExpand函数时,出现正则表达式拒绝服务(ReDoS),从而导致拒绝服务。
needle 存在Authorization请求头泄露漏洞
未授权敏感信息泄露
needle 是 一款流式传输的HTTP客户端
needle 没有对重定向后的请求头做过滤处理,会把第一次请求的 Authorization 请求头也传递到重定向后的服务,导致 Authorization 请求头泄露。
攻击者可利用该漏洞被动窃取用户的 Authorization 数据。
评论