PT-2021-10998 · Npm+3 · Node-Sass+3
Liujinghao
+1
·
Publicado
2021-01-11
·
Atualizado
2022-04-01
·
CVE-2020-24025
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
node-sass, versões 2.0.0 a 6.0.1
Descrição:
O problema está relacionado à validação de certificados desativada no node-sass ao solicitar binários, mesmo que o usuário não especifique um caminho de download alternativo. Isso afeta determinadas versões do eZ Platform, ezsystems/ezplatform e ezsystems/ezplatform-page-builder. Os mantenedores resolveram o problema substituindo o node-sass pelo sass.
Recomendações:
Para as versões do node-sass de 2.0.0 a 6.0.1, considere substituir o node-sass pelo sass 1.32.13 ou uma versão posterior para resolver o problema.
Para o eZ Platform v2.5, atualize para uma versão que utilize o sass em vez do node-sass.
No momento, não há informações sobre outras correções específicas para este problema.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Ez Platform
Node-Sass
Sass