exploitDog

GHSA-h2p3-h48h-9jj7

Опубликовано: 13 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

PIDUsage Enables OS Command Injection

Overview

Affected versions of pidusage pass unsanitized input to child_process.exec(), resulting in arbitrary code execution in the ps method.

This package is vulnerable to this PoC on Darwin, SunOS, FreeBSD, and AIX.

Windows and Linux are not vulnerable.

Proof of Concept

var pid = require('pidusage'); pid.stat('1 && /usr/local/bin/python');

Remediation

Update to version 1.1.5 or later.

Ссылки

Пакеты

Наименование

pidusage

npm

Затронутые версииВерсия исправления

<= 1.1.4

1.1.5

EPSS

Процентиль: 94%

0.11815

Средний

9.8 Critical

CVSS3

CVE ID

CVE-2017-1000220

Дефекты

CWE-78

Связанные уязвимости

CVE-2017-1000220

CVSS3: 9.8

nvd

около 8 лет назад

soyuka/pidusage <=1.1.4 is vulnerable to command injection in the module resulting in arbitrary command execution

EPSS

Процентиль: 94%

0.11815

Средний

9.8 Critical

CVSS3

CVE ID

CVE-2017-1000220

Дефекты

CWE-78