PT-2020-19664 · Node.Js · Node-Key-Sender

Publicado

2020-04-02

Atualizado

2022-02-10

CVE-2020-7627

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

node-key-sender versões 1.0.11 e anteriores

Descrição

A vulnerabilidade permite a execução de comandos arbitrários por meio do argumento arrParams na função execute(). Isso possibilita ataques de injeção de comando.

Recomendações

Para as versões 1.0.11 e anteriores do node-key-sender, como solução temporária, considere desativar a função execute() até que um patch esteja disponível. Restrinja o acesso ao argumento arrParams para minimizar o risco de exploração.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

CVE-2020-7627

GHSA-4XRW-WVMQ-8JMH

SNYK-JS-NODEKEYSENDER-564261

Produtos afetados

Node-Key-Sender

PT-2020-19664 · Node.Js · Node-Key-Sender

CVE-2020-7627

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7