GHSA-gh4g-3gm9-5wrq

Опубликовано: 29 мая 2019

Источник: github

Github: Прошло ревью

CVSS3: 6.1

Описание

Cross-Site Scripting in shave

Versions of shave prior to 2.5.3 are vulnerable to Cross-Site Scripting. The shave package overwrites HTML elements and in doing so fails to properly encode the output. If encoded HTML input is passed into shave the output will be decoded which may lead to Cross-Site Scripting.

Recommendation

Upgrade to version 2.5.3 or later.

Ссылки

Пакеты

Наименование

shave

npm

Затронутые версииВерсия исправления

< 2.5.3

2.5.3

EPSS

Процентиль: 53%

0.00307

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2019-12313

Дефекты

CWE-79

Связанные уязвимости

CVE-2019-12313

CVSS3: 6.1

nvd

больше 6 лет назад

XSS exists in Shave before 2.5.3 because output encoding is mishandled during the overwrite of an HTML element.

EPSS

Процентиль: 53%

0.00307

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2019-12313

Дефекты

CWE-79