GHSA-xg59-m7wx-853q

Опубликовано: 25 окт. 2019

Источник: github

Github: Прошло ревью

CVSS3: 5.4

Описание

Cross-site Scripting in node-red-dashboard

It is possible to inject JavaScript within node-red-dashboard versions prior to version 2.17.0 due to the ui_notification node accepting raw HTML by default.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2019-10756
https://snyk.io/vuln/SNYK-JS-NODEREDDASHBOARD-471939

Пакеты

Наименование

node-red-dashboard

npm

Затронутые версииВерсия исправления

< 2.17.0

2.17.0

EPSS

Процентиль: 43%

0.00206

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2019-10756

Дефекты

CWE-79

Связанные уязвимости

CVE-2019-10756

CVSS3: 5.4

nvd

больше 6 лет назад

It is possible to inject JavaScript within node-red-dashboard versions prior to version 2.17.0 due to the ui_notification node accepting raw HTML by default.

EPSS

Процентиль: 43%

0.00206

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2019-10756

Дефекты

CWE-79