GHSA-c7pp-g2v2-2766

Опубликовано: 01 сент. 2020

Источник: github

Github: Прошло ревью

Описание

DOM-based XSS in gmail-js

Affected versions of gmail-js are vulnerable to cross-site scripting in the tools.parse_response, helper.get.visible_emails_post, and helper.get.email_data_post functions, which pass user input directly into the Function constructor.

Recommendation

Update to version 0.6.5 or later.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2016-1000228
https://github.com/KartikTalwar/gmail.js/issues/281
https://github.com/KartikTalwar/gmail.js/commit/a83436f499f9c01b04280af945a5a81137b6baf1
https://www.npmjs.com/advisories/125

Пакеты

Наименование

gmail-js

npm

Затронутые версииВерсия исправления

<= 0.6.4

0.6.5

CVE ID

CVE-2016-1000228

Дефекты

CWE-79

Связанные уязвимости

CVE-2016-1000228

debian

Описание отсутствует

CVE ID

CVE-2016-1000228

Дефекты

CWE-79