urijs 是一个用于处理 URL 的 Javascript 库。此软件包的受影响版本容易受到 parseQuery() 造成的原型污染。
Socketio Engineio 资源管理错误漏洞
拒绝服务
Socketio Engineio是Socketio社区的一个基于Javascript用于浏览器与设备进行双向通信的实时引擎。
Socketio Engine.IO before 4.0.0 存在安全漏洞,攻击者可利用该漏洞通过对长轮询传输的POST请求导致拒绝服务(资源消耗)。
Axios 是一个基于promise 网络请求库。
漏洞版本的axios 容易受到低效正则表达式复杂性的影响,从而引发拒绝服务 (ReDoS) 的攻击。
Moment.js 是一个 JavaScript 日期库。用于解析、验证、操作和格式化日期。
Moment.js 的 npm 版本中处理目录遍历序列时对于输入验证不严格导致可以构造特制的 HTTP 请求读取系统上的任意文件。
攻击者可利用该漏洞访问系统敏感文件。
Medialize URI.js 安全漏洞
跨站重定向
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
GitHub存储库 1.19.10之前版本的 medialize/uri.js 存在安全漏洞,该漏洞源于medialize/uri.js 中打开重定向。
Npm Ini是美国Npm公司的一个基于Javascript的用于解析和序列化Ini格式文件的代码库。
Npm ini before 1.3.6 存在资源管理错误漏洞,该漏洞允许攻击者可利用该漏洞向应用程序提交恶意的INI文件,该应用程序将用INI解析该文件。这可以根据上下文进一步加以利用。
Dan DeFelippi node-XMLHttpRequest是 (Dan DeFelippi)开源的一个应用软件。用于模拟浏览器XMLHttpRequest对象。
node-XMLHttpRequest before 1.7.0 存在代码注入漏洞,攻击者可利用该漏洞导致任意代码注入并运行。
Tmont Pug是 (Tmont)开源的一个应用软件。提供了优化html的方式。
Pug 存在注入漏洞,攻击者可利用该漏洞编译器的“pretty”选项。
lodash是一个提供模块化、性能和附加功能的现代 JavaScript 实用程序库。
4.17.21 之前的 Lodash 版本容易通过模板函数进行命令注入。
Medialize URI.js 安全漏洞
跨站重定向
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
medialize/uri.js存在安全漏洞,目前暂无该漏洞信息,请随时关注CNNVD或厂商公告。
Medialize URI.js 输入验证错误漏洞
输入验证不恰当
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
Medialize URI.js 1.19.11之前版本存在输入验证错误漏洞,该漏洞源于CRHTLF导致无效的协议提取。
Medialize URI.js 输入验证错误漏洞
跨站重定向
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
Medialize URI.js 存在输入验证错误漏洞,该漏洞源于 new URI 未能正确解析 https:/// ,该漏洞导致系统用户被定位到别的站点。
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
URI.js before 1.19.6 存在安全漏洞,该漏洞源于对反斜杠的某些用法(例如http: /)进行了错误处理,并将URI解释为相对路径。
github ws是一个应用软件。一种易于使用,运行迅速且经过全面测试的WebSocket客户端和服务器实现的方法。
漏洞版本中“Sec-Websocket-Protocol”标头的一个特殊的值可以用来显著降低ws服务器的速度,从而导致拒绝服务漏洞。
nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。
nodejs-glob-parent 存在安全漏洞,该漏洞源于正则表达式拒绝服务。
npm node-fetch 安全漏洞
不加限制或调节的资源分配
node-fetch 2.6.1和3.0.0-beta版本中存在安全漏洞。该漏洞源于内容大小超过限制时,将永远不会抛出FetchError。
Medialize URI.js 输入验证错误漏洞
输入验证不恰当
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
URI.js 存在输入验证错误漏洞,该漏洞源于允许通过使用反斜杠(``)字符后跟一个at(`@`)字符来欺骗主机名。 如果在安全决策中使用了主机名,则该决策可能不正确。 根据库的使用情况和攻击者的意图,影响可能包括允许/阻止列表绕过,开放重定向或其他不良行为。
Dan DeFelippi node-XMLHttpRequest 信任管理问题漏洞
证书验证不恰当
Dan DeFelippi node-XMLHttpRequest是 (Dan DeFelippi)开源的一个应用软件。用于模拟浏览器XMLHttpRequest对象。
Node.js xmlhttprequest-ssl package 1.6.1之前版本存在信任管理问题漏洞,该漏洞源于任何证书都不会被拒绝。
lodash是一款开源的JavaScript实用程序库。 lodash 4.17.15及之前版本中存在输入验证错误漏洞。远程攻击者可借助'merge'、'mergeWith'和'defaultsDeep'函数利用该漏洞在系统上执行任意代码。
lodash 是一个现代 JavaScript 实用程序库,提供模块化、性能和附加功能。由于对 CVE-2020-8203 的修复不完整,此软件包的受影响版本容易受到 zipObjectDeep 中的原型污染。
评论