React是一款用于构建用户界面的JavaScript库。
React中存在跨站脚本漏洞,该漏洞源于程序使用ReactDOMServer API来进行HTML渲染,但在渲染时并没有转义用户提交的属性名称。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。以下版本受到影响:React 16.0.x版本,16.1.x版本,16.2.x版本,16.3.x版本,16.4.x版本(次版本)。
Google Chrome audio 资源管理错误漏洞
跨界内存写
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。audio是其中的一个音频组件。
Google Chrome中的audio组件存在安全漏洞。远程攻击者可特制的页面利用该漏洞在目标系统上执行任意代码。
electron 存在不安全的缺省变量初始化漏洞
不安全的缺省变量初始化
electron 是一个框架,可让您使用 JavaScript、HTML 和 CSS 编写跨平台桌面应用程序。由于 nodeIntegration 和 webviewTag 的默认值在用户未定义时设置为 true,因此该软件包的受影响版本容易受到任意代码执行的影响,因为 Node 在 web 视图中启用。
electron 是一个框架,可让您使用 JavaScript、HTML 和 CSS 编写跨平台桌面应用程序。此软件包的受影响版本容易受到缓冲区下溢的影响。
Google Chrome 资源管理错误漏洞
UAF
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chromium 88.0.4324.96版本之前存在资源管理错误漏洞,该漏洞源于程序媒体组件中发现了使用后免费安全问题。
Google Chrome 安全漏洞
输入验证不恰当
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 存在安全漏洞,该漏洞源于Mojo中数据缺少有效的验证。
https-proxy-agent 存在中间人攻击漏洞
中间人攻击
https-proxy-agent 是一个提供 http.Agent 实现的模块,可以连接到指定的 HTTP 或 HTTPS 代理服务器,并且可以与内置的 https 模块一起使用。此软件包的受影响版本容易受到中间人 (MitM) 的攻击。
Medialize URI.js 输入验证错误漏洞
输入验证不恰当
Medialize URI.js是Medialize团队的一款基于Javascript的可用于高效拼接URL的代码库。
Medialize URI.js 1.19.11之前版本存在输入验证错误漏洞,该漏洞源于CRHTLF导致无效的协议提取。
Google Chrome类型混淆漏洞
使用不兼容类型访问资源(类型混淆)
Chrome是由Google开发的一款设计简单、高效的Web浏览工具。Google Chrome 93.0.4577.82之前版本中的Blink布局存在类型混淆漏洞。攻击者可利用该漏洞通过精心制作的HTML页面潜在地利用堆损坏。
Google Chrome类型混淆漏洞
使用不兼容类型访问资源(类型混淆)
Chrome是由Google开发的一款设计简单、高效的Web浏览工具。Google Chrome 95.0.4638.69之前版本中的V8存在类型混淆漏洞。攻击者可利用该漏洞通过精心制作的HTML页面潜的造成堆损坏。
macaddress 是一个获取主机网络接口的 MAC 地址(硬件地址)的库。此软件包的受影响版本容易受到任意文件读取的影响。
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google chrome 87.0.4280.66之前版本存在安全漏洞,该漏洞源于网络中的策略执行不足。
Axios 是一个基于promise 网络请求库。
漏洞版本的axios 容易受到低效正则表达式复杂性的影响,从而引发拒绝服务 (ReDoS) 的攻击。
Google Chromium代码执行漏洞
使用不兼容类型访问资源(类型混淆)
Google Chromium是美国谷歌(Google)的一款开源的Web浏览器。
Google Chromium 90.0.4430.212版本之前存在安全漏洞。该漏洞源于程序的V8组件中发现类型混淆安全问题。目前没有详细的漏洞细节提供。
Sindre Sorhus IS-SVG 安全漏洞
不加限制或调节的资源分配
Sindre Sorhus is-svg是 (Sindre Sorhus)开源的一个应用软件。提供检查字符串或缓冲区是否为SVG功能。
IS-SVG 存在安全漏洞,该漏洞源于当应用程序检查一个精心制作的无效SVG字符串时,就会出现正则表达式拒绝服务(ReDOS)。
4.2.1 之前的 dot-prop npm 包版本和 5.1.1 之前的 5.x 版本中的原型污染漏洞允许攻击者向 JavaScript 语言构造(例如对象)添加任意属性。
Chrome是由Google开发的一款设计简单、高效的Web浏览工具。Google Chrome 95.0.4638.69之前版本中的“垃圾收集”存在释放后重用漏洞。攻击者可利用该漏洞通过精心制作的HTML页面造成堆损坏。
object-path 安全漏洞
使用不兼容类型访问资源(类型混淆)
object-path是个人开发者的一个可以通过路径访问数据结构中变量的 Npm 库。
object-path 0.11.6之前版本存在安全漏洞,该漏洞源于当path参数中使用的路径组件是阵列时会导致类型混淆漏洞。
Async是英国Caolan McMahon个人开发者的一个实用模块。用于使用异步 JavaScript。
Async 3.2.1 及之前版本存在安全漏洞,该漏洞源于 mapValues() 方法。攻击者可通过 mapValues() 方法获取权限。
谷歌 Google Chrome 资源管理错误漏洞
UAF
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 存在资源管理错误漏洞,远程攻击者可以创建一个特制的网页,诱使受害者访问该网页,触发释放后使用错误并在目标系统上执行任意代码。以下产品及版本受到影响:Google Chrome: 87.0.4280.66, 87.0.4280.141, 88.0.4324.96, 88.0.4324.146, 88.0.4324.150, 88.0.4324.182, 89.0.4389.72, 89.0.4389.90, 89.0.4389.114, 89.0.4389.128, 90.0.4430.72。
评论