GHSA-6qpr-9mc5-7gch

Опубликовано: 12 апр. 2021

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Command Injection in async-git

The package async-git before 1.13.2 are vulnerable to Command Injection via shell meta-characters (back-ticks). For example: git.reset('atouch HACKEDb')

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2020-28490
https://github.com/omrilotan/async-git/pull/14
https://github.com/omrilotan/async-git/commit/d1950a5021f4e19d92f347614be0d85ce991510d
https://snyk.io/vuln/SNYK-JS-ASYNCGIT-1064877
https://www.npmjs.com/package/async-git

Пакеты

Наименование

async-git

npm

Затронутые версииВерсия исправления

< 1.13.2

1.13.2

EPSS

Процентиль: 91%

0.069

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2020-28490

Дефекты

CWE-78

Связанные уязвимости

CVE-2020-28490

CVSS3: 9.1

nvd

почти 5 лет назад

The package async-git before 1.13.2 are vulnerable to Command Injection via shell meta-characters (back-ticks). For example: git.reset('atouch HACKEDb')

EPSS

Процентиль: 91%

0.069

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2020-28490

Дефекты

CWE-78