CVE-2023-26045

Опубликовано: 24 июл. 2023

Источник: nvd

CVSS3: 10

CVSS3: 9.8

EPSS Низкий

Описание

NodeBB is Node.js based forum software. Starting in version 2.5.0 and prior to version 2.8.7, due to the use of the object destructuring assignment syntax in the user export code path, combined with a path traversal vulnerability, a specially crafted payload could invoke the user export logic to arbitrarily execute javascript files on the local disk. This issue is patched in version 2.8.7. As a workaround, site maintainers can cherry pick the fix into their codebase to patch the exploit.

Ссылки

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:nodebb:nodebb:*:*:*:*:*:node.js:*:*

Версия от 2.5.0 (включая) до 2.8.7 (исключая)

EPSS

Процентиль: 53%

0.00304

Низкий

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-22

Связанные уязвимости

GHSA-vh2g-6c4x-5hmp

CVSS3: 10

github

больше 2 лет назад

Path traversal and code execution via prototype vulnerability

BDU:2023-04383

CVSS3: 10

fstec

больше 2 лет назад

Уязвимость программного обеспечение для форумов NodeBB Forum, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 53%

0.00304

Низкий

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-22