CVE-2022-29078

Опубликовано: 25 апр. 2022

Источник: ubuntu

Приоритет: medium

CVSS2: 7.5

CVSS3: 9.8

Описание

The ejs (aka Embedded JavaScript templates) package 3.1.6 for Node.js allows server-side template injection in settings[view options][outputFunctionName]. This is parsed as an internal option, and overwrites the outputFunctionName option with an arbitrary OS command (which is executed upon template compilation).

Релиз	Статус	Примечание
bionic	ignored	end of standard support, was needs-triage
devel	not-affected	3.1.8+~3.1.1-1
esm-apps/bionic	needs-triage
esm-apps/focal	needs-triage
esm-apps/jammy	needs-triage
esm-apps/noble	not-affected	3.1.8+~3.1.1-1
focal	ignored	end of standard support, was needs-triage
impish	ignored	end of life
jammy	needs-triage
kinetic	not-affected	3.1.8+~3.1.1-1

Показывать по

Ссылки на источники

7.5 High

CVSS2

9.8 Critical

CVSS3

Связанные уязвимости

CVE-2022-29078

CVSS3: 9.8

redhat

почти 4 года назад

CVE-2022-29078

CVSS3: 9.8

nvd

почти 4 года назад

CVE-2022-29078

CVSS3: 9.8

debian

почти 4 года назад

The ejs (aka Embedded JavaScript templates) package 3.1.6 for Node.js ...

GHSA-phwq-j96m-2c2q

CVSS3: 9.8

github

почти 4 года назад

ejs template injection vulnerability

BDU:2022-04347

CVSS3: 9.8

fstec

почти 4 года назад

Уязвимость функции outputFunctionName каркаса веб-приложений ejs для Node. js, позволяющая нарушителю выполнить произвольные команды

7.5 High

CVSS2

9.8 Critical

CVSS3

CVE-2022-29078

Описание

Пакет node-ejs

Ссылки на источники

Связанные уязвимости