漏洞标题
N/A
漏洞描述信息
产品监控器是一个HTML/JavaScript模板,用于监控产品,通过鼓励产品开发人员将所有关于产品状态的信息(包括实时监测、统计、端点以及测试结果)整合到一个位置。低于2.2.5版本的产品监控器通过HTTP下载JavaScript资源,这使得模块容易受到中间人攻击。如果攻击者在网络中或位于用户和远程服务器之间,则可以通过替换请求的JavaScript文件与攻击者控制的JavaScript文件来造成远程代码执行(RCE)。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
product-monitor is a HTML/JavaScript template for monitoring a product by encouraging product developers to gather all the information about the status of a product, including live monitoring, statistics, endpoints, and test results into one place. product-monitor versions below 2.2.5 download JavaScript resources over HTTP, which leaves the module vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested JavaScript file with an attacker controlled JavaScript file if the attacker is on the network or positioned in between the user and the remote server.
CVSS信息
N/A
漏洞类别
敏感数据加密缺失
漏洞标题
install-nw 安全漏洞
漏洞描述信息
install-nw是一个安装和缓存NW.j模块的工具。 install-nw 1.1.5之前版本中存在安全漏洞,该漏洞源于程序通过HTTP协议下载JavaScript资源。远程攻击者可通过用其控制的JavaScript文件替换被请求的JavaScript文件利用该漏洞执行代码。
CVSS信息
N/A
漏洞类别
加密问题