BDU:2021-03269

Опубликовано: 18 июн. 2021

Источник: fstec

CVSS3: 4.8

CVSS2: 4

EPSS Низкий

Описание

Уязвимость пакета npm striptags связана с ошибками обработки типов данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки (XSS)

Вендор

Node.js Foundation

Наименование ПО

striptags

Версия ПО

до 3.2.0 (striptags)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/ericnorris/striptags/releases/tag/v3.2.0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-32696
CVE

EPSS

Процентиль: 52%

0.00292

Низкий

4.8 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

CVE-2021-32696

CVSS3: 3.7

nvd

больше 4 лет назад

The npm package "striptags" is an implementation of PHP's strip_tags in Typescript. In striptags before version 3.2.0, a type-confusion vulnerability can cause `striptags` to concatenate unsanitized strings when an array-like object is passed in as the `html` parameter. This can be abused by an attacker who can control the shape of their input, e.g. if query parameters are passed directly into the function. This can lead to a XSS.

GHSA-qxg5-2qff-p49r