Vulnérabilité: CVE-2020-7777

Cela affecte toutes les versions du paquet jsen. Si un attaquant peut contrôler le fichier de schéma, il pourrait exécuter du code arbitraire JavaScript sur la machine victime. Dans la description du module et le fichier README il n’y a aucune mention sur les risques de fichiers de schéma non fiables, donc je suppose que cela est applicable. En particulier, le champ obligatoire du schéma est pas correctement filtrée. La chaîne résultante qui est construit en fonction de la définition du schéma est ensuite transmis à un Function.apply () ;, conduisant à une exécution de code arbitraire.


https://github.com/bugventure/jsen/blob/master/lib/jsen.js%23L875
https://github.com/bugventure/jsen/blob/master/lib/jsen.js%23L875
https://snyk.io/vuln/SNYK-JS-JSEN-1014670
https://snyk.io/vuln/SNYK-JS-JSEN-1014670
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7777


Il est possible de laisser un commentaire en tant qu'utilisateur enregistré du site, accédant par les réseaux sociaux, compte wordpress ou en tant qu'utilisateur anonyme. Si vous souhaitez laisser un commentaire en tant qu'utilisateur anonyme, vous serez informé par courrier électronique d'une réponse possible uniquement si vous saisissez votre adresse électronique (facultatif). L'inclusion de toute donnée dans les champs de commentaires est totalement facultative. Toute personne qui décide de saisir des données accepte le traitement de celles-ci pour les finalités inhérentes au service ou la réponse au commentaire et aux communications strictement nécessaires.


Laisser un commentaire