BDU:2022-04361

Опубликовано: 14 апр. 2022

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость утилиты определения версий пакетов npm-dependency-versions пакетного менеджера NPM связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольную команду

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

npm-dependency-versions

Версия ПО

до 0.3.0 включительно (npm-dependency-versions)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Организационные меры:

1. Ограничить использование программного средства

2. Использование аналогичного программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-29080
CVE

EPSS

Процентиль: 87%

0.03315

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2022-29080

CVSS3: 9.8

nvd

почти 4 года назад

The npm-dependency-versions package through 0.3.0 for Node.js allows command injection if an attacker is able to call dependencyVersions with a JSON object in which pkgs is a key, and there are shell metacharacters in a value.

GHSA-m7xq-8jp8-rj2c

CVSS3: 9.8

github

почти 4 года назад

Command injection in npm-dependency-versions

EPSS

Процентиль: 87%

0.03315

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2