Undefsafe存在未明漏洞
注入
Undefsafe是一款支持设置值的函数。 Undefsafe2.0.3之前版本中存在安全漏洞。攻击者可利用该漏洞借助‘a’函数添加或修改Object.prototype属性。
CVE-2019-10795 MPS-2020-2617
2022-08-08 18:26
http-proxy 存在拒绝服务漏洞
拒绝服务
http-proxy 是一个为大众提供 HTTP 代理的库。此软件包的受影响版本容易受到拒绝服务 (DoS) 的攻击。
MPS-2022-13767
2022-08-08 18:26
is-my-json-valid 存在拒绝服务漏洞
拒绝服务
is-my-json-valid 是一个 JSONSchema / 有序验证器,它使用代码生成非常快。此软件包的受影响版本容易通过样式格式受到正则表达式拒绝服务 (ReDoS) 的攻击。
MPS-2022-13795
2022-08-08 18:26
Andrey Sitnik postcss 安全漏洞
Andrey Sitnik postcss是Andrey Sitnik开源的一个应用程序,用于使用JS插件进行样式转换。 在漏洞版本中该程序在源映射解析期间受到正则表达式拒绝服务(ReDoS)的攻击。
CVE-2021-23368 MPS-2021-4549
2022-08-08 18:26
tar 存在拒绝服务漏洞
拒绝服务
tar 是用于 Node.js 的全功能 Tar。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
MPS-2022-14081
2022-08-08 18:26
LibSass 资源管理错误漏洞
拒绝服务
LibSass是一个开源的使用C语言编写的Sass(CSS扩展语言)解析器。 LibSass 3.5.5之前版本中的eval.cpp文件的‘Sass::Eval::operator()’函数存在安全漏洞,该漏洞源于程序没有正确的解析‘\\%’字符。攻击者可借助特制的sass文件利用该漏洞造成拒绝服务(栈损坏)。
CVE-2018-19837 MPS-2018-15395
2022-08-08 18:26
Hoek 访问控制错误漏洞
MAID
Hoek是一个hapi系统的实现。 Hoek 4.2.0之前版本和5.0.3之前的5.0.x版本中存在访问控制错误漏洞。本地攻击者可借助‘merge’和‘applyToDefaults’函数利用该漏洞修改‘Object’的原型。
CVE-2018-3728 MPS-2018-3882
2022-08-08 18:26
serialize-to-js 跨站脚本漏洞
XSS
serialize-to-js是一款能够将对象序列化为字符串的软件包。 serialize-to-js(NPM)3.0.1之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
CVE-2019-16772 MPS-2019-15918
2022-08-08 18:26
cached-path-relative 安全漏洞
原型污染
cached-path-relative是一个开源的npm包。 cached-path-relative 1.1.0 之前版本存在安全漏洞,该漏洞源于对于缓存变量设置实现存在问题。软件容易受到原型污染。
CVE-2021-23518 MPS-2021-19557
2022-08-08 18:26
nanoid安全漏洞
不正确的类型转换
nanoid是用于 JavaScript 的小型、安全、URL 友好、唯一的字符串 ID 生成器。 nanoid安全中存在漏洞,该漏洞源于nanoid 容易通过 valueOf() 函数受到信息暴露的影响,该函数允许重现最后生成的 id。
CVE-2021-23566 MPS-2021-19605
2022-08-08 18:26
url-parse 安全漏洞
Arnout Kazemier url-parse是美国Arnout Kazemiere(Arnout Kazemier)个人开发者的一个应用软件。提供url解析。 url-parse before 1.5.0 版本存在安全漏洞,该漏洞源于错误处理了反斜杠的某些用法,例如http: /,并将URI解释为相对路径。
CVE-2021-27515 MPS-2021-2265
2022-08-08 18:26
clean-css 存在拒绝服务漏洞
clean-css 是适用于 Node.js 平台和任何现代浏览器的快速高效的 CSS 优化器。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
MPS-2022-12865
2022-08-08 18:26
acorn 存在拒绝服务漏洞
拒绝服务
acorn 是一个用 JavaScript 编写的小巧、快速的 JavaScript 解析器。此软件包的受影响版本通过 /[x-\ud800]/u 形式的正则表达式容易受到正则表达式拒绝服务 (ReDoS) 的攻击,这会导致解析器进入无限循环。
MPS-2022-13525
2022-08-08 18:26
markdown-it 存在拒绝服务漏洞
拒绝服务
markdown-it 是一个现代的可插拔 Markdown 解析器。此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
MPS-2022-13854
2022-08-08 18:26
semver-regex 存在ReDoS漏洞
ReDoS
semver-regex 是用于匹配 semver 版本的正则表达式。由于 semverRegex() 函数中的正则表达式使用不当,此软件包的受影响版本容易受到正则表达式拒绝服务 (ReDoS) 的攻击。
MPS-2022-14032
2022-08-08 18:26
NPM url-parse授权绕过漏洞
Url-Parse是一个跨Node.js和浏览器环境无缝工作的小型Url解析器。NPM url-parse 1.5.8之前版本存在授权绕过漏洞,攻击者可利用该漏洞通过用户控制的密钥绕过授权。
CVE-2022-0686 MPS-2022-4464
2022-08-08 18:26
node-forge 输入验证错误漏洞
动态确定对象属性修改的控制不恰当
node-forge是一个应用软件。一个用于 node-forge 的 WebJar。 所有版本的node-forge软件包都易于通过setPath函数受到原型污染。
CVE-2020-7720 MPS-2020-12281
2022-08-08 18:26
ua-parser-js 资源管理错误漏洞
拒绝服务
ua-parser-js是基于JavaScript的User-Agent字符串解析器。可以在浏览器(客户端)或node.js(服务器端)环境中使用。也可以作为jQuery / Zepto插件,Bower / Meteor软件包和RequireJS / AMD模块使用。 ua-parser-js 0.7.23 之前版本存在安全漏洞,该漏洞源于ue -parser-js很容易受到正则表达式在多个正则表达式中的拒绝服务(ReDoS)的攻击。
CVE-2020-7793 MPS-2020-17428
2022-08-08 18:26
is-my-json-valid 存在代码注入漏洞
代码注入
is-my-json-valid 是一个 JSONSchema / 有序验证器,它使用代码生成非常快。此软件包的受影响版本容易通过 formatName 函数执行任意代码。
MPS-2022-13796
2022-08-08 18:26
marked data: URI解析器跨站脚本漏洞
XSS
marked是美国软件开发者Christopher Jeffrey所研发的一款使用JavaScript编写的Markdown解析器和编译器。data:URI parser是其中的一个URI(统一资源标识符)解析器。 marked 0.3.6及之前的版本中的data: URI解析器存在跨站脚本漏洞。远程攻击者可借助data: URIs利用该漏洞绕过访问控制或窃取敏感信息。
CVE-2017-1000427 MPS-2018-0046
2022-08-08 18:26
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页