漏洞标题
N/A
漏洞描述信息
"在npm 2.15.1之前和3.x之前版本,以及在Node.js 0.10之前版本0.10.44、0.12之前版本0.12.13、4之前版本4.4.2和5之前版本5.10.0中使用的npm CLI,包括可任意请求的Bearer tokens,这允许远程HTTP服务器通过读取授权头获取敏感信息。"
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The CLI in npm before 2.15.1 and 3.x before 3.8.3, as used in Node.js 0.10 before 0.10.44, 0.12 before 0.12.13, 4 before 4.4.2, and 5 before 5.10.0, includes bearer tokens with arbitrary requests, which allows remote HTTP servers to obtain sensitive information by reading Authorization headers.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Joyent Node.js npm 安全漏洞
漏洞描述信息
Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。npm是其中的一个包管理和分发工具。 Joyent Node.js中使用的npm 2.15.1之前版本和3.8.3之前3.x版本中的CLI中存在安全漏洞,该漏洞源于请求中包含发件人令牌。远程攻击者可通过读取Authorization头利用该漏洞获取敏感信息。
CVSS信息
N/A
漏洞类别
信息泄露