GHSA-w5pw-gmcw-rfc8

Опубликовано: 21 авг. 2024

Источник: github

Github: Прошло ревью

CVSS4: 8.9

CVSS3: 9.8

Описание

squirrelly Code Injection vulnerability

squirrellyjs squirrelly v9.0.0 was discovered to contain a code injection vulnerability via the component options.varName. The issue was fixed in version 9.1.0.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2024-40453
https://github.com/squirrellyjs/squirrelly/pull/262
https://github.com/squirrellyjs/squirrelly/commit/426f930e5ca1501404cd887071e734ec5feb0bcf
https://samuzora.com/posts/cve-2024-40453

Пакеты

Наименование

squirrelly

npm

Затронутые версииВерсия исправления

>= 9.0.0, < 9.1.0

9.1.0

EPSS

Процентиль: 85%

0.02641

Низкий

8.9 High

CVSS4

9.8 Critical

CVSS3

CVE ID

CVE-2024-40453

Дефекты

CWE-94

Связанные уязвимости

CVE-2024-40453

CVSS3: 9.8

nvd

больше 1 года назад

squirrellyjs squirrelly v9.0.0 and fixed in v.9.0.1 was discovered to contain a code injection vulnerability via the component options.varName.

EPSS

Процентиль: 85%

0.02641

Низкий

8.9 High

CVSS4

9.8 Critical

CVSS3

CVE ID

CVE-2024-40453

Дефекты

CWE-94