GHSA-wjr4-2jgw-hmv8

Опубликовано: 31 июл. 2018

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Command Injection in whereis

Versions of whereis before 0.4.1 are vulnerable to command injection if untrusted user input is passed into whereis.

Recommendation

Update to version 0.4.1 or later.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2018-3772
https://github.com/vvo/node-whereis/commit/0f64e3780235004fb6e43bfd153ea3e0e210ee2b
https://hackerone.com/reports/319476
https://github.com/advisories/GHSA-wjr4-2jgw-hmv8
https://www.npmjs.com/advisories/604

Пакеты

Наименование

whereis

npm

Затронутые версииВерсия исправления

< 0.4.1

0.4.1

EPSS

Процентиль: 70%

0.00622

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2018-3772

Дефекты

CWE-77

Связанные уязвимости

CVE-2018-3772

CVSS3: 9.8

nvd

больше 7 лет назад

Concatenating unsanitized user input in the `whereis` npm module < 0.4.1 allowed an attacker to execute arbitrary commands. The `whereis` module is deprecated and it is recommended to use the `which` npm module instead.

EPSS

Процентиль: 70%

0.00622

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2018-3772

Дефекты

CWE-77