PT-2021-19962 · Npm · @Diez/Generation
Erik Krogh Kristensen
+1
·
Publicado
2021-08-17
·
Atualizado
2021-09-02
·
CVE-2021-32830
CVSS v3.1
7.0
Alta
| Vetor | AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
@diez/generation (versões afetadas não especificadas)
Descrição
O pacote npm @diez/generation apresenta uma vulnerabilidade de injeção de comando em seu método
locateFont. Esse problema pode levar à execução remota de código se um cliente da biblioteca chamar o método vulnerável com entradas não confiáveis. É improvável que os clientes da biblioteca @diez/generation estejam cientes disso, portanto, eles podem, sem saber, escrever código que contenha uma vulnerabilidade.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
@Diez/Generation