Описание
Due to improper type validation in attachment parsing the Socket.io js library, it is possible to overwrite the _placeholder object which allows an attacker to place references to functions at arbitrary places in the resulting query object.
Ссылки
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 4.0.5 (исключая)Версия от 4.1.0 (включая) до 4.2.1 (исключая)
Одно из
cpe:2.3:a:socket:socket.io-parser:*:*:*:*:*:node.js:*:*
cpe:2.3:a:socket:socket.io-parser:*:*:*:*:*:node.js:*:*
EPSS
Процентиль: 78%
0.01132
Низкий
10 Critical
CVSS3
9.8 Critical
CVSS3
Дефекты
CWE-89
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 10
debian
больше 3 лет назад
Due to improper type validation in attachment parsing the Socket.io js ...
CVSS3: 9.8
github
больше 3 лет назад
Insufficient validation when decoding a Socket.IO packet
EPSS
Процентиль: 78%
0.01132
Низкий
10 Critical
CVSS3
9.8 Critical
CVSS3
Дефекты
CWE-89
NVD-CWE-noinfo