Junit 信息泄露漏洞
关键资源的不正确权限授予
Junit是个人开发者的一个开放源代码的Java测试框架。
JUnit4 4.13.1之前版本存在信息泄露漏洞,该漏洞源于测试规则TemporaryFolder包含一个本地信息泄露漏洞。在类似Unix的系统中,系统的临时目录在该系统上的所有用户之间共享。因此,在将文件和目录写入此目录时,默认情况下,相同系统上的其他用户都可以读取它们。此漏洞不允许其他用户覆盖这些目录或文件的内容。这纯粹是一个信息披露的漏洞。如果JUnit测试编写了敏感信息,这个漏洞就会对您造成影响。
pathval是Chai.js团队的一个用于基于 String 字符串来检索和设置对象的 Npm 代码库
pathval 1.1.1之前版本存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
colors.js 安全漏洞
不可达退出条件的循环(无限循环)
Colors.js是美国Marak个人开发者的用于在 Node.js 控制台中获取颜色。
colors.js 中存在安全漏洞。攻击者可以通过 AmericanFlag 模块中的无限循环引入拒绝服务 (DoS) 的攻击。
Async是英国Caolan McMahon个人开发者的一个实用模块。用于使用异步 JavaScript。
Async 3.2.1 及之前版本存在安全漏洞,该漏洞源于 mapValues() 方法。攻击者可通过 mapValues() 方法获取权限。
flat 是一个使用嵌套的 Javascript 对象并将其展平,或使用分隔键取消展平对象此包的受影响版本容易受到原型污染。
semver-regex 存在不正确的正则表达式漏洞
不正确的正则表达式
semver-regex 是用于匹配 semver 版本的正则表达式 此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
semver-regex 存在拒绝服务漏洞
拒绝服务
semver-regex 是用于匹配 semver 版本的正则表达式。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
semver-regex 存在ReDoS漏洞
ReDoS
semver-regex 是用于匹配 semver 版本的正则表达式。由于 semverRegex() 函数中的正则表达式使用不当,此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
评论