CVE-2022-29080

Опубликовано: 12 апр. 2022

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

The npm-dependency-versions package through 0.3.0 for Node.js allows command injection if an attacker is able to call dependencyVersions with a JSON object in which pkgs is a key, and there are shell metacharacters in a value.

Ссылки

https://github.com/barneycarroll/npm-dependency-versions/issues/6
Exploit
Issue Tracking
Third Party Advisory
https://www.npmjs.com/package/npm-dependency-versions
Product
Third Party Advisory
https://github.com/barneycarroll/npm-dependency-versions/issues/6
Exploit
Issue Tracking
Third Party Advisory
https://www.npmjs.com/package/npm-dependency-versions
Product
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:npm-dependency-versions_project:npm-dependency-versions:*:*:*:*:*:node.js:*:*

Версия до 0.3.0 (включая)

EPSS

Процентиль: 87%

0.03315

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-78

Связанные уязвимости

GHSA-m7xq-8jp8-rj2c

CVSS3: 9.8

github

почти 4 года назад

Command injection in npm-dependency-versions

BDU:2022-04361

CVSS3: 9.8

fstec

почти 4 года назад

Уязвимость утилиты определения версий пакетов npm-dependency-versions пакетного менеджера NPM, позволяющая науршителю выполнить произвольную команду

EPSS

Процентиль: 87%

0.03315

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-78