Количество 43
Количество 43
BDU:2023-04976
Уязвимость пакета SemVer пакетного менеджера NPM, позволяющая нарушителю вызвать отказ в обслуживании
GHSA-g467-j8jp-rq97
A privilege escalation vulnerability exists in the experimental policy mechanism in all active release lines: 16.x, 18.x and, 20.x. The use of the deprecated API `process.binding()` can bypass the policy mechanism by requiring internal modules and eventually take advantage of `process.binding('spawn_sync')` run arbitrary code, outside of the limits defined in a `policy.json` file. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js.
BDU:2023-04955
Уязвимость модуля process.binding() программной платформы Node.js, позволяющая нарушителю обойти существующие ограничения безопасности
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано | |
|---|---|---|---|---|
 | BDU:2023-04976 Уязвимость пакета SemVer пакетного менеджера NPM, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 7.5 | 0% Низкий | больше 2 лет назад |
| GHSA-g467-j8jp-rq97 A privilege escalation vulnerability exists in the experimental policy mechanism in all active release lines: 16.x, 18.x and, 20.x. The use of the deprecated API `process.binding()` can bypass the policy mechanism by requiring internal modules and eventually take advantage of `process.binding('spawn_sync')` run arbitrary code, outside of the limits defined in a `policy.json` file. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js. | CVSS3: 9.8 | 0% Низкий | больше 2 лет назад |
| BDU:2023-04955 Уязвимость модуля process.binding() программной платформы Node.js, позволяющая нарушителю обойти существующие ограничения безопасности | CVSS3: 7.5 | 0% Низкий | больше 2 лет назад |
Уязвимостей на страницу