GHSA-3fw4-4h3m-892h

Опубликовано: 13 апр. 2021

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

OS Command Injection in serial-number

serial-number through 1.3.0 allows execution of arbritary commands. The "cmdPrefix" argument in serialNumber function is used by the "exec" function without any validation.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2019-10804
https://github.com/es128/serial-number/blob/master/index.js#L106
https://snyk.io/vuln/SNYK-JS-SERIALNUMBER-559010

Пакеты

Наименование

serial-number

npm

Затронутые версииВерсия исправления

<= 1.3.0

Отсутствует

EPSS

Процентиль: 68%

0.00578

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2019-10804

Дефекты

CWE-78

Связанные уязвимости

CVE-2019-10804

CVSS3: 9.8

nvd

почти 6 лет назад

serial-number through 1.3.0 allows execution of arbritary commands. The "cmdPrefix" argument in serialNumber function is used by the "exec" function without any validation.

EPSS

Процентиль: 68%

0.00578

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2019-10804

Дефекты

CWE-78