PT-2021-11529 · Npm · Nuance-Gulp-Build-Common
Publicado
2021-02-23
·
Atualizado
2021-08-12
·
CVE-2020-28430
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
nuance-gulp-build-common (versões afetadas não especificadas)
Descrição:
O problema diz respeito à injeção de comando por meio do arquivo index.js no pacote nuance-gulp-build-common. Uma prova de conceito (PoC) demonstra a vulnerabilidade ao carregar o pacote e executar um comando para criar um arquivo, conforme mostrado no trecho de código:
js
var a = require(“nuance-gulp-build-common”)
a.run(“touch JHU”)
No entanto, observa-se que uma investigação mais aprofundada indicou que não se tratava de um problema de segurança, e o candidato foi retirado.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nuance-Gulp-Build-Common