url-parse是一款跨Node.js和浏览器环境的小型URL解析器。
url-parse 1.4.3之前版本中存在安全漏洞,该漏洞源于程序没有进行正确的解析,导致返回错误的主机名。远程攻击者可利用该漏洞实施服务器端请求伪造攻击、开放重定向攻击或绕过身份验证协议。
webpack-dev-server 信息泄露漏洞
未授权敏感信息泄露
webpack-dev-server是一款主要用于测试的开发服务器。
webpack-dev-server 3.1.6之前版本中的lib/Server.js文件存在安全漏洞,该漏洞源于程序没有检测请求包头中的Origin字段。攻击者可通过从任意来源连接ws://127.0.0.1:8080/利用该漏洞接收WebSocket服务器发送的HMR消息。
merge package 拒绝服务漏洞
拒绝服务
merge package是一个用于将多个对象合并为一个的软件包。
merge package 1.2之前版本中的 merge.recursive 函数存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。
React是一款用于构建用户界面的JavaScript库。
React中存在跨站脚本漏洞,该漏洞源于程序使用ReactDOMServer API来进行HTML渲染,但在渲染时并没有转义用户提交的属性名称。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。
react-dev-utils 安全漏洞
OS命令注入
react-dev-utils是一个实用程序集。
基于Windows平台的react-dev-utils中存在安全漏洞。攻击者可通过向服务器发送网络请求利用该漏洞在目标系统上执行任意命令。以下版本受到影响:react-dev-utils 1.0.4之前的1.x.x版本,2.0.2之前的2.x.x版本,3.1.2之前的3.x.x版本,4.2.2之前的4.x.x版本,5.0.2之前的5.x.x版本。
Joyent Node.js atob 安全漏洞
越界读取
Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。atob是其中的一个使用Buffer模拟浏览器ATOB功能的模块。
Joyent Node.js 4.x及之前版本上的atob 2.0.3及之前版本中存在安全漏洞,该漏洞源于程序分配了未初始化的缓冲区。攻击者可利用该漏洞从未初始化的内存中提取敏感信息或造成拒绝服务。
sshpk是一款用于解析、转换SSH秘钥的包。
sshpk中存在拒绝服务漏洞。攻击者可构造无效公钥利用该漏洞造成拒绝服务。
lodash node module是一款开源的JavaScript实用程序库,它主要提供模块化等功能。
lodash node模块4.17.5之前版本中存在安全漏洞。远程攻击者可借助 defaultsDeep、merge 和 mergeWith 函数利用该漏洞造成拒绝服务(崩溃或返回500错误)并可能执行代码。
Eran Hammer cryptiles 不安全的随机性漏洞
信息熵不充分
Eran Hammer cryptiles是一款通用加密工具。
Eran Hammer cryptiles 4.1.1之前版本中的randomDigits()方法存在安全漏洞。攻击者可利用该漏洞暴力破解随机数。
Joyent Node.js macaddress模块命令注入漏洞
OS命令注入
Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。macaddress module是使用在其中的一个Mac地址管理模块。
Joyent Node.js macaddress模块0.2.9之前版本中存在命令注入漏洞。攻击者可利用该漏洞注入任意的命令。
mixin-deep 参数注入漏洞
参数注入或修改
mixin-deep是一款能够将对象属性混合到第一个对象中的模块。
mixin-deep 1.3.2之前版本和2.0.0版本中存在参数注入漏洞。该漏洞源于外部输入数据构造命令参数的过程中,网络系统或产品未正确过滤参数中的特殊字符。攻击者可利用该漏洞执行非法命令。
set-value是一款能够使用点表示法在对象上设置嵌套值的模块。
set-value 3.0.1之前版本中存在拒绝服务漏洞,由于set-value对于constructor, prototype或_proto_等属性未进行检查或过滤。攻击者可通过发送恶意的请求使用constructor, prototype或_proto_等属性注入payload添加或修改Object.prototype的属性导致系统崩溃或处理时间过长造成拒绝服务。
eslint-utils < 1.4.1 任意代码执行漏洞
代码注入
eslint-utils是ESLint插件和自定义规则的实用程序。eslint-utils 1.4.1之前版本存在任意代码执行漏洞。攻击者可通过getStaticValue函数利用该漏洞执行任意代码。
lodash是一款开源的JavaScript实用程序库。
lodash 4.17.11之前版本中由于函数merge,mergeWith和defaultsDeep可以添加或修改Object.prototype导致原型污染漏洞。
这会造成通过触发 JavaScript 异常来拒绝服务,或者篡改应用程序源代码以强制攻击者注入的代码路径,从而导致远程代码执行。
extend module [*, 2.0.2)、[3.0.0, 3.0.2) 原型污染漏洞
注入
extend module是一个jQuery的经典extend()方法的端口。
extend 2.0.2之前版本和3.0.0版本至3.0.2版本中容易受到原型污染。当攻击者控制传递给这些函数的结构的一部分时,函数可以被欺骗修改 Object 的原型。这可以让攻击者添加或修改将存在于所有对象上的现有属性。
攻击者可以向 JavaScript 语言构造(例如对象)添加任意属性,通过覆盖原型对象的属性方法可能造成拒绝服务和远程代码执行的危害。
serialize-javascript < 2.1.2 跨站脚本漏洞
XSS
serialize-javascript是一款支持将JavaScript序列化为 JSON超集的软件包。
serialize-javascript 2.1.1之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行js代码。
handlebars是一款语义化的Web模板系统。
handlebars 4.3.0之前版本中存在原型污染漏洞。模板可能会改变对象的__proto__属性__defineGetter__,这可能允许攻击者通过恶意负载在服务器上执行任意代码。
kind-of 存在注入漏洞
将资源暴露给错误范围
kind-of是一款JavaScript类型检查软件包。
kind-of受影响版本存在验证绕过漏洞。它利用不安全的用户输入的内置构造函数来检测类型信息。恶意的有效负载可以覆盖这个内置属性,以操纵类型检测结果。
npm package morgan 安全漏洞
代码注入
npm package morgan 1.9.1之前版本中存在命令注入漏洞,该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
Axios <0.18.0 存在XML 实体扩展漏洞
XML实体扩展
Axios 是一款用于浏览器和 node.js 的基于 Promise 的 HTTP 客户端 。
Axios 的受影响版本中存在DTD 中递归实体引用的不当限制漏洞。攻击者可利用该漏洞输入超过 maxContentLength 的内容,从而导致拒绝服务(应用程序崩溃)。
评论