GHSA-phwq-j96m-2c2q

Опубликовано: 26 апр. 2022

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

ejs template injection vulnerability

The ejs (aka Embedded JavaScript templates) package 3.1.6 for Node.js allows server-side template injection in settings[view options][outputFunctionName]. This is parsed as an internal option, and overwrites the outputFunctionName option with an arbitrary OS command (which is executed upon template compilation).

Ссылки

Пакеты

Наименование

ejs

npm

Затронутые версииВерсия исправления

< 3.1.7

3.1.7

EPSS

Процентиль: 100%

0.93462

Критический

9.8 Critical

CVSS3

CVE ID

CVE-2022-29078

Дефекты

CWE-74

Связанные уязвимости

CVE-2022-29078

CVSS3: 9.8

ubuntu

почти 4 года назад

CVE-2022-29078

CVSS3: 9.8

redhat

почти 4 года назад

CVE-2022-29078

CVSS3: 9.8

nvd

почти 4 года назад

CVE-2022-29078

CVSS3: 9.8

debian

почти 4 года назад

The ejs (aka Embedded JavaScript templates) package 3.1.6 for Node.js ...

BDU:2022-04347

CVSS3: 9.8

fstec

почти 4 года назад

Уязвимость функции outputFunctionName каркаса веб-приложений ejs для Node. js, позволяющая нарушителю выполнить произвольные команды

EPSS

Процентиль: 100%

0.93462

Критический

9.8 Critical

CVSS3

CVE ID

CVE-2022-29078

Дефекты

CWE-74