LibSass是一个开源的使用C语言编写的Sass(CSS扩展语言)解析器。
LibSass 3.5.4及之前版本中的‘Sass::Inspect::operator’函数存在安全漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
Immer 安全漏洞
使用不兼容类型访问资源(类型混淆)
Immer是Immer社区的一个基于Javascript的状态管理库。。
immer 9.0.6之前版本存在安全漏洞,该漏洞源于当path参数中使用的用户提供的密钥是数组时,可能导致绕过CVE-2020-28477。
jsonpointer 存在拒绝服务漏洞
拒绝服务
jsonpointer 是一个简单的 JSON 寻址。此软件包的受影响版本容易通过 set 函数受到原型污染。
no-case module是一个用于字符串转换的模块。
no-case模块中存在安全漏洞。攻击者可借助不可信的用户输入利用该漏洞造成拒绝服务。
forwarded module是一个用于解析HTTP X-Forwarded-For标头的Node.js模块。
forwarded模块中存在安全漏洞。攻击者可借助特制的输入利用该漏洞造成拒绝服务。
Yargs Y18n 输入验证错误漏洞
动态确定对象属性修改的控制不恰当
Yargs Y18n是Yargs个人开发者的一个类似I18n的由Js编写的代码库。
y18n before 3.2.2, 4.0.1 and 5.0.5版本存在输入验证错误漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
react-dev-utils 操作系统命令注入漏洞
命令注入
Helper create-react-app是 (Helper)开源的一个应用程序。用于隐藏在弹出时不应给用户带来负担的代码。
react-dev-utils prior to v11.0.4 存在操作系统命令注入漏洞,该漏洞源于当使用用户提供的值手动调用这个getProcessForPort函数时,才有可能出现命令注入。
node-tar是一款用于文件压缩/解压缩的软件包。
Npm Node-tar 中存在后置链接漏洞,该漏洞源于产品未对特殊字符做有效验证。攻击者可通过该漏洞在其他路径创建恶意文件。
js-yaml 是一种人性化的数据序列化语言。此软件包的受影响版本容易受到任意代码执行的影响。
node-forge 是网络传输、密码学、密码、PKI、消息摘要和各种实用程序的 JavaScript 实现。此软件包的受影响版本容易受到通过伪造的原型污染。
follow-redirects project信息暴露漏洞
信息暴露
Exposure of Sensitive Information to an Unauthorized Actor in NPM follow-redirects prior to 1.14.8.
LibSass是一个开源的使用C语言编写的Sass(CSS扩展语言)解析器。
LibSass 3.5.4及之前版本中的‘Sass::Prelexer::skip_over_scopes’函数存在缓冲区溢出漏洞,该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
lodash node module是一款开源的JavaScript实用程序库,它主要提供模块化等功能。
lodash node模块4.17.5之前版本中存在安全漏洞。远程攻击者可借助‘defaultsDeep’、‘merge’和‘mergeWith’函数利用该漏洞造成拒绝服务(崩溃或返回500错误)并可能执行代码。
node-tar 后置链接漏洞
在文件访问前对链接解析不恰当(链接跟随)
node-tar是一款用于文件压缩/解压缩的软件包。
node-tar 4.4.2之前版本中存在后置链接漏洞。该漏洞源于网络系统或产品未正确过滤表示非预期资源的链接或者快捷方式的文件名。攻击者可利用该漏洞访问非法的文件路径。
Ajv 6.12.2版本中的ajv.validate()函数中存在输入验证错误漏洞。攻击者可利用该漏洞执行代码或造成拒绝服务。
diff 是一个 javascript 文本差异实现。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
jasmine-core 存在拒绝服务漏洞
拒绝服务
jasmine-core 是 JavaScript 的行为驱动开发测试框架。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
Mout是Mout团队的一个基于Javascript的为JS编程提供模块支持的代码库。
Mout 存在安全漏洞,该漏洞源于deepFillIn函数可以用来“递归地填充缺失的属性”,而deepMixIn“将对象混合到目标对象中,同时递归地混合现有的子对象”。在这两种情况下,用于递归访问目标对象的键都没有被检查,从而导致原型污染。
Follow Redirects 安全漏洞
侵犯隐私
Follow Redirects是一个自动遵循 Http(s) 重定向的 Node.js 模块。
Follow Redirects 存在安全漏洞,该漏洞源于follow-redirects容易暴露私人个人信息给未经授权的参与者。
4.2.1 之前的 dot-prop npm 包版本和 5.1.1 之前的 5.x 版本中的原型污染漏洞允许攻击者向 JavaScript 语言构造(例如对象)添加任意属性。
评论