CVE-2020-7606

Опубликовано: 15 мар. 2020

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

docker-compose-remote-api through 0.1.4 allows execution of arbitrary commands. Within 'index.js' of the package, the function 'exec(serviceName, cmd, fnStdout, fnStderr, fnExit)' uses the variable 'serviceName' which can be controlled by users without any sanitization.

Ссылки

https://snyk.io/vuln/SNYK-JS-DOCKERCOMPOSEREMOTEAPI-560125
Exploit
Third Party Advisory
https://snyk.io/vuln/SNYK-JS-DOCKERCOMPOSEREMOTEAPI-560125
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:docker-compose-remote-api_project:docker-compose-remote-api:*:*:*:*:*:node.js:*:*

Версия до 0.1.4 (включая)

EPSS

Процентиль: 62%

0.00426

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-78

Связанные уязвимости

GHSA-q6pj-jh94-5fpr

CVSS3: 9.8

github

почти 5 лет назад

OS Command Injection in docker-compose-remote-api

BDU:2020-01256

CVSS3: 9.8

fstec

почти 6 лет назад

Уязвимость пакета docker-compose-remote-api пакетного менеджера NPM, позволяющая нарушителю выполнять произвольные команды

EPSS

Процентиль: 62%

0.00426

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-78