PT-2020-21181 · Npm · Node-Rules
Publicado
2020-09-03
·
Atualizado
2020-09-03
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do node-rules anteriores à 5.0.0
Descrição
O problema decorre da falha do pacote em sanitizar regras de entrada, que são então passadas diretamente para uma chamada eval ao usar a função fromJSON. Isso pode permitir que invasores executem código arbitrário no sistema se as regras forem controladas pelo usuário.
Recomendações
Atualize para a versão 5.0.0 ou posterior.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Node-Rules