Eran Hammer cryptiles 安全漏洞
信息熵不充分
Eran Hammer cryptiles是一款通用加密工具。
Eran Hammer cryptiles 4.1.1之前版本中的randomDigits()方法存在安全漏洞。攻击者可利用该漏洞暴力破解随机数。
Yargs Y18n 输入验证错误漏洞
动态确定对象属性修改的控制不恰当
Yargs Y18n是Yargs个人开发者的一个类似I18n的由Js编写的代码库。
y18n before 3.2.2, 4.0.1 and 5.0.5版本存在输入验证错误漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
js-yaml 是一种人性化的数据序列化语言。此软件包的受影响版本容易受到拒绝服务 (DoS) 的攻击。
Elliptic package 输入验证错误漏洞
整数溢出或超界折返
Elliptic package是一款基于JavaScript的椭圆曲线密码库。
Elliptic package 6.5.2版本(Node.js)中存在安全漏洞。攻击者可利用该漏洞提升权限。
lodash是一个提供模块化、性能和附加功能的现代 JavaScript 实用程序库。
4.17.21 之前的 Lodash 版本容易通过模板函数进行命令注入。
node-tar是一款用于文件压缩/解压缩的软件包。
Npm Node-tar 中存在后置链接漏洞,该漏洞源于产品未对特殊字符做有效验证。攻击者可通过该漏洞在其他路径创建恶意文件。
handlebars是一款语义化的Web模板系统。
handlebars 4.7.7之前版本存在安全漏洞,该漏洞源于当选择某些编译选项来编译来自不可信源的模板时,容易受到原型污染的影响。
elliptic 是一个简单的 javascript 实现中的快速椭圆曲线密码学。此软件包的受影响版本容易受到时序攻击。
React是一款用于构建用户界面的JavaScript库。
React中存在跨站脚本漏洞,该漏洞源于程序使用ReactDOMServer API来进行HTML渲染,但在渲染时并没有转义用户提交的属性名称。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。以下版本受到影响:React 16.0.x版本,16.1.x版本,16.2.x版本,16.3.x版本,16.4.x版本(次版本)。
handlebars 是 Mustache 模板语言的扩展。此软件包的受影响版本容易受到原型污染。
handlebars 是 Mustache 模板语言的扩展。此软件包的受影响版本容易受到任意代码执行的影响。
handlebars 是 Mustache 模板语言的扩展。此软件包的受影响版本容易受到原型污染。
lodash是一款开源的JavaScript实用程序库。 lodash 4.17.15及之前版本中存在输入验证错误漏洞。远程攻击者可借助'merge'、'mergeWith'和'defaultsDeep'函数利用该漏洞在系统上执行任意代码。
minimist是一款命令行参数解析工具。
minimist 1.2.2之前版本存在输入验证错误漏洞。攻击者可借助‘constructor’和‘__proto__’ payload利用该漏洞添加或修改Object.prototype的属性。
Async是英国Caolan McMahon个人开发者的一个实用模块。用于使用异步 JavaScript。
Async 3.2.1 及之前版本存在安全漏洞,该漏洞源于 mapValues() 方法。攻击者可通过 mapValues() 方法获取权限。
Npm Braces是美国Npm公司的一个应用程序。Bash的括号扩展,以JavaScript实现。
Braces 2.3.1之前版本存在安全漏洞,攻击者可利用该漏洞使用正则表达式拒绝服务(ReDoS)攻击。
handlebars 是 Mustache 模板语言的扩展。此软件包的受影响版本容易受到原型污染。
Npm Ini是美国Npm公司的一个基于Javascript的用于解析和序列化Ini格式文件的代码库。
Npm ini before 1.3.6 存在资源管理错误漏洞,该漏洞允许攻击者可利用该漏洞向应用程序提交恶意的INI文件,该应用程序将用INI解析该文件。这可以根据上下文进一步加以利用。
js-yaml 是一种人性化的数据序列化语言。此软件包的受影响版本容易受到任意代码执行的影响。
mixin-deep 参数注入漏洞
参数注入或修改
mixin-deep是一款能够将对象属性混合到第一个对象中的模块。
mixin-deep 1.3.2之前版本和2.0.0版本中存在参数注入漏洞。该漏洞源于外部输入数据构造命令参数的过程中,网络系统或产品未正确过滤参数中的特殊字符。攻击者可利用该漏洞执行非法命令。
评论