Описание
Уязвимость функции «xopen(filepath)» приложения для работы с файлами xopen для npm существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды операционной системы, посредством отправки специально сформированных данных
Вендор
andrewimm
Наименование ПО
xopen
Версия ПО
1.0.0 (xopen)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Ограничить доступ к уязвимому продукту средствами межсетевого экранирования или другими административными мерами
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 66%
0.00513
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
больше 3 лет назад
This affects all versions of package xopen. The injection point is located in line 14 in index.js in the exported function xopen(filepath)
CVSS3: 9.8
github
больше 3 лет назад
xopen is vulnerable to OS Command Injection in Exported Function xopen(filepath)
EPSS
Процентиль: 66%
0.00513
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2