PT-2022-3577 · Npm · Npm-Dependency-Versions
Xiaofen9
·
Publicado
2022-04-12
·
Atualizado
2023-08-08
·
CVE-2022-29080
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
npm-dependency-versions versões 0.3.0 e anteriores
Descrição
O problema está relacionado à verificação insuficiente de argumentos no pacote npm-dependency-versions, o que pode levar à injeção de comando. Um invasor pode explorar essa vulnerabilidade chamando a função
dependencyVersions com um objeto JSON contendo uma chave pkgs e metacaracteres de shell em um valor, permitindo potencialmente a execução remota de comandos arbitrários.Recomendações
Para as versões 0.3.0 e anteriores, considere desativar a função
dependencyVersions até que um patch esteja disponível para evitar ataques de injeção de comando. Restrinja o acesso à função dependencyVersions para minimizar o risco de exploração. Evite usar a chave pkgs no objeto JSON passado para a função dependencyVersions até que o problema seja resolvido.Exploit
Correção
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Npm-Dependency-Versions