GHSA-w83x-fp72-p9qc

Опубликовано: 10 мая 2021

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Command Injection in geojson2kml

All versions up to and including version 0.1.1 of package geojson2kml are vulnerable to Command Injection via the index.js file.

PoC:

var a =require("geojson2kml"); a("./","& touch JHU",function(){})

Ссылки

Пакеты

Наименование

geojson2kml

npm

Затронутые версииВерсия исправления

<= 0.1.1

Отсутствует

EPSS

Процентиль: 99%

0.8418

Высокий

9.8 Critical

CVSS3

CVE ID

CVE-2020-28429

Дефекты

CWE-77

Связанные уязвимости

CVE-2020-28429

CVSS3: 7.3

nvd

почти 5 лет назад

All versions of package geojson2kml are vulnerable to Command Injection via the index.js file. PoC: var a =require("geojson2kml"); a("./","& touch JHU",function(){})

EPSS

Процентиль: 99%

0.8418

Высокий

9.8 Critical

CVSS3

CVE ID

CVE-2020-28429

Дефекты

CWE-77