GHSA-hg2p-2cvq-4ppv

Опубликовано: 10 дек. 2021

Источник: github

Github: Прошло ревью

CVSS3: 5.4

Описание

Cross-site scripting in lazysizes

lazysizes through 5.2.0 allows execution of malicious JavaScript. The following attributes are not sanitized by the video-embed plugin: data-vimeo, data-vimeoparams, data-youtube and data-ytparams which can be abused to inject malicious JavaScript.

Ссылки

Пакеты

Наименование

lazysizes

npm

Затронутые версииВерсия исправления

<= 5.2.0

5.2.1

EPSS

Процентиль: 56%

0.00341

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2020-7642

Дефекты

CWE-79

Связанные уязвимости

CVE-2020-7642

CVSS3: 5.4

nvd

почти 6 лет назад

lazysizes through 5.2.0 allows execution of malicious JavaScript. The following attributes are not sanitized by the video-embed plugin: data-vimeo, data-vimeoparams, data-youtube and data-ytparams which can be abused to inject malicious JavaScript.

EPSS

Процентиль: 56%

0.00341

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2020-7642

Дефекты

CWE-79