CVE-2018-3772

Опубликовано: 30 июл. 2018

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

Concatenating unsanitized user input in the whereis npm module < 0.4.1 allowed an attacker to execute arbitrary commands. The whereis module is deprecated and it is recommended to use the which npm module instead.

Ссылки

https://hackerone.com/reports/319476
Exploit
Third Party Advisory
https://hackerone.com/reports/319476
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:whereis_project:whereis:*:*:*:*:*:node.js:*:*

Версия до 0.4.1 (исключая)

EPSS

Процентиль: 70%

0.00622

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-77

CWE-20

Связанные уязвимости

GHSA-wjr4-2jgw-hmv8