GHSA-3q9x-w53p-jg53

Опубликовано: 09 дек. 2021

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

OS Command Injection in heroku-addonpool

heroku-addonpool through 0.1.15 is vulnerable to Command Injection. The second parameter of the exported function HerokuAddonPool(id, app, opt) can be controlled by users without any sanitization.

PoC

var Root = require("heroku-addonpool"); var root = Root("sss", "& touch JHU", {}); root.setup();

Ссылки

Пакеты

Наименование

heroku-addonpool

npm

Затронутые версииВерсия исправления

< 0.1.16

0.1.16

EPSS

Процентиль: 87%

0.03263

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2020-7634

Дефекты

CWE-78

Связанные уязвимости

CVE-2020-7634

CVSS3: 9.8

nvd

почти 6 лет назад

heroku-addonpool through 0.1.15 is vulnerable to Command Injection.

EPSS

Процентиль: 87%

0.03263

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2020-7634

Дефекты

CWE-78