PT-2021-3172 · Unknown+1 · Pug-Code-Gen+1
Forbes Lindesay
·
Publicado
2021-02-10
·
Atualizado
2025-05-27
·
CVE-2021-21353
CVSS v2.0
9.3
Crítica
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do pug anteriores à 3.0.1
Versões do pug-code-gen anteriores à 2.0.3
Descrição
O problema está relacionado à neutralização insuficiente de elementos especiais na saída do pré-processador HTML Pug, especificamente nas funções VisitMixin e visitMixinBlock. Isso pode permitir que um invasor remoto execute código arbitrário se conseguir controlar a opção
pretty do compilador pug, por exemplo, inserindo um objeto fornecido pelo usuário nas entradas do modelo pug.Recomendações
Para versões do Pug anteriores à 3.0.1, atualize para a versão 3.0.1 ou posterior.
Para versões do pug-code-gen anteriores à 2.0.3, atualize para a versão 2.0.3 ou posterior.
Como solução temporária, considere compilar os modelos antecipadamente antes de aplicar entradas do usuário a eles, para evitar que entradas não confiáveis sejam passadas ao Pug como a opção
pretty.Exploit
Correção
RCE
Special Elements Injection
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pug
Pug-Code-Gen