Yargs Y18n 输入原型污染漏洞
动态确定对象属性修改的控制不恰当
Yargs Y18n 是一个由JavaScript编写的类似 I18n 的代码库。
受影响版本中由于 Y18N 类处理语言文件时没有进行适当的清理,攻击者可通过 setLocale 函数修改对象原型的属性,远程执行恶意代码。
nanoid < 3.1.31 信息泄露漏洞
不正确的类型转换
nanoid是用于 JavaScript 的小型、安全、URL 友好、唯一的字符串 ID 生成器。
nanoid中存在信息泄露漏洞,该漏洞源于 valueOf()函数可以重新生成 nanoid 上一次最后生成的id。攻击者可能利用该漏洞窃取管理员id请求敏感数据。
Lodash是一个开放源码的JavaScript库。
Lodash的漏洞版本容易通过 toNumber、trim 和 trimEnd 函数受到正则表达式拒绝服务 (ReDoS) 的攻击。
lodash是一个提供模块化、性能和附加功能的现代 JavaScript 实用程序库。
4.17.21 之前的 Lodash 版本容易通过模板函数进行命令注入。
glob-parent < 5.1.2 存在拒绝服务漏洞
拒绝服务
nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。
nodejs-glob-parent 存在安全漏洞,该漏洞源于正则表达式拒绝服务。
shelljs < 0.8.5 存在特权管理不恰当漏洞
权限管理不当
shelljs 是一个用于 Node.js 的 Unix shell 命令包装器。
该包的受影响版本存在不当特权管理漏洞。当 ShellJS 用于创建可能以 root 用户身份运行的 shell 脚本时,系统上权限较低的用户可以从特权进程的标准输出中泄露敏感信息(取决于实现方式),或通过触发 EACCESS 错误时关闭特权 ShellJS 进程的 exec 函数。
注意:这仅影响 shell.exec() 的同步版本。
mocha 是一个用于 node.js 和浏览器的 javascript 测试框架。此软件包的受影响版本容易受到 utils 中 clean 函数中的正则表达式拒绝服务 (ReDoS) 的攻击。
minimatch是isaacs个人开发者的一个 javascript 中的全局匹配器。
minimatch存在安全漏洞,该漏洞源于当使用特定参数调用braceExpand函数时,出现正则表达式拒绝服务(ReDoS),从而导致拒绝服务。
评论