terser是terser个人开发者的一个用于 ES6+ 的 JavaScript 解析器、处理程序和压缩器工具包。
terser 4.8.1 之前版本、5.0.0 和 5.14.2 之前版本存在安全漏洞,该漏洞源于正则表达式的使用不安全,导致容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
npm node-semver是美国npm公司的一个库。
node-semver 7.5.2之前版本存在安全漏洞,该漏洞源于容易受到正则表达式拒绝服务(ReDoS)的攻击。
Tauri是Tauri开源的一个使用 Web 前端构建更小、更快、更安全的桌面应用程序。
Tauri 2.2.1版本及之前版本存在安全漏洞,该漏洞源于parse方法不限制名为 __proto__ 键的解析,允许恶意字符串污染生成对象的原型。
由于结果变量中使用了不安全的正则表达式,word-wrap包的所有版本都存在正则表达式拒绝服务(ReDoS)漏洞。攻击者可以利用此漏洞通过构造恶意输入来导致正则表达式匹配超时,进而导致系统拒绝服务。建议升级到修复版本以修补此漏洞。
Babel 插件任意代码执行漏洞漏洞【Poc公开】
不完整的黑名单
Babel 是开源的 JavaScript 编译器。
当使用依赖 path.evaluate() 或 path.evaluateTruthy()方法的插件编译攻击者可控的代码时将会执行恶意代码,以下插件受影响:
1. @babel/plugin-transform-runtime
2. @babel/preset-env(当使用 useBuiltIns 选项时)
3. 任何依赖于 @babel/helper-define-polyfill-provider 的 polyfill provider 插件,包括: babel-plugin-polyfill-corejs3、babel-plugin-polyfill-corejs2、babel-plugin-polyfill-es-shims、babel-plugin-polyfill-regenerator、babel-plugin-polyfill-custom
@babel/下的其他插件不受影响, 但可能存在受影响的第三方插件。
tslib 是一个恶意程序包。此软件包的受影响版本容易受到恶意软件包的攻击。
评论