GHSA-cg42-4wrc-gp47

Опубликовано: 17 мая 2021

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Code Injection in node-extend

node-extend through 0.2.0 is vulnerable to Arbitrary Code Execution. User input provided to the argument A of extend function(A,B,as,isAargs) located within lib/extend.js is executed by the eval function, resulting in code execution.

Ссылки

Пакеты

Наименование

node-extend

npm

Затронутые версииВерсия исправления

<= 0.2.0

Отсутствует

EPSS

Процентиль: 79%

0.01201

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2020-7673

Дефекты

CWE-94

Связанные уязвимости

CVE-2020-7673

CVSS3: 9.8

nvd

больше 5 лет назад

node-extend through 0.2.0 is vulnerable to Arbitrary Code Execution. User input provided to the argument `A` of `extend` function`(A,B,as,isAargs)` located within `lib/extend.js` is executed by the `eval` function, resulting in code execution.

CVE-2020-7673

CVSS3: 9.8

debian

больше 5 лет назад

node-extend through 0.2.0 is vulnerable to Arbitrary Code Execution. U ...

BDU:2020-04638

CVSS3: 9.8

fstec

больше 5 лет назад

Уязвимость функции eval программного средства node-extend, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 79%

0.01201

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2020-7673

Дефекты

CWE-94