ssri是一个标准的子资源完整性库--根据SRI规范解析、序列化、生成和验证完整性元数据。
受影响版本存在正则表达式拒绝服务(ReDoS)漏洞。ssri使用一个正则表达式来处理子资源完整性(SRI),这个正则表达式存在拒绝服务漏洞。恶意的SRI可能需要非常长的时间来处理,导致拒绝服务。这个问题只影响使用了严格选项的用户。
adm-zip <0.5.2存在路径遍历漏洞
路径遍历
adm-zip 是一个用于NodeJS的zip数据压缩的JavaScript实现。
该包的受影响版本存在目录遍历漏洞,可能会将文件提取到目标文件夹之外。
http-cache-semantics 安全漏洞
ReDoS
npm http-cache-semantics是美国npm公司的一个应用程序。用于分析缓存控件和其他标头,帮助构建正确的 HTTP 缓存和代理。
http-cache-semantics 4.1.1之前的版本存在安全漏洞,该漏洞源于当服务器使用其从请求中读取缓存策略时,可以通过发送到服务器的恶意请求头值来利用该问题。
npm node-semver是美国npm公司的一个库。
node-semver 7.5.2之前版本存在安全漏洞,该漏洞源于容易受到正则表达式拒绝服务(ReDoS)的攻击。
Tauri是Tauri开源的一个使用 Web 前端构建更小、更快、更安全的桌面应用程序。
Tauri 2.2.1版本及之前版本存在安全漏洞,该漏洞源于parse方法不限制名为 __proto__ 键的解析,允许恶意字符串污染生成对象的原型。
【漏洞存在争议】 EJS 是开源的 JavaScript 模板引擎,允许在HTML代码中使用JavaScript代码块,closeDelimiter 参数是 EJS 模板中的结束标记,用于指定结束分隔符。
由于对 CVE-2022-29078 漏洞修复不完全,当应用程序使用 EJS 模板引擎,并且未对用户传入的变量进行转义或过滤时,攻击者可以在 closeDelimiter 参数中注入任意的JavaScript代码,从而在服务器上执行恶意系统命令、读取和修改敏感文件等操作。
注意:供应商对此有异议,因为渲染函数不打算与不受信任的输入一起使用。
tough-cookie是Salesforce开源的一个库。
tough-cookie 4.1.3之前版本存在安全漏洞,该漏洞源于在rejectPublicSuffixes=false模式下使用CookieJar时对Cookie的处理不当,可能导致原型污染漏洞。
request是NPM仓库中的http请求客户端,其支持HTTPS并默认跟随跳转。
由于其中lib/redirect.js在跟随跳转时,如果源站点与目标站点协议不一致,则会删除agent属性,导致依赖于agent的ssrf过滤组件失效(如ssrf-req-filter),导致可以请求跳转后的内部地址。
tough-cookie<4.1.3 存在原型污染漏洞
原型污染
tough-cookie 是一个用于处理 HTTP cookie 的 JavaScript 库。
受影响版本中的 rejectPublicSuffixes=false 模式下使用 CookieJar 存在原型污染漏洞,攻击者可修改 Domain=__proto__; 原型属性执行恶意代码。
用户可通过在 Map 中存储 cookie 或使用 this.idx = Object.create(null) 创建 idx 变量缓解此漏洞。
Axios XSRF-TOKEN CSRF漏洞
侵犯隐私
Axios 是一个基于 Promise 的浏览器和 Node.js 的 HTTP 客户端。
在 Axios 受影响版本中,当 XSRF-TOKEN cookie 可用且 withCredentials 设置打开时,该库会在对任何服务器的所有请求中将 XSRF-TOKEN cookie 值插入 X-XSRF-TOKEN 标头。攻击者可以通过构造链接、页面等方式诱导受害者点击,以受害者的身份执行未经授权的操作,可能导致账户被接管、数据泄露等安全问题。
评论