漏洞标题
N/A
漏洞描述信息
Pomelo v2.2.5 允许外部控制关键状态数据。恶意的用户输入可能导致模板/游戏服务器/应用程序/服务器/连接/处理程序/入口处理程序.js中的任意方法和安全属性被损坏,因为某些内部属性可以通过冲突名称被覆盖。因此,恶意攻击者可以通过向用户输入中添加额外的属性来操纵内部属性。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Pomelo v2.2.5 allows external control of critical state data. A malicious user input can corrupt arbitrary methods and attributes in template/game-server/app/servers/connector/handler/entryHandler.js because certain internal attributes can be overwritten via a conflicting name. Hence, a malicious attacker can manipulate internal attributes by adding additional attributes to user input.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Pomelo 注入漏洞
漏洞描述信息
Pomelo是一款用于Node.js的、可扩展的分布式游戏服务器框架。 Pomelo 2.2.5版本中存在注入漏洞。该漏洞源于用户输入构造命令、数据结构或记录的操作过程中,网络系统或产品缺乏对用户输入数据的正确验证,未过滤或未正确过滤掉其中的特殊元素,导致系统或产品产生解析或解释方式错误。
CVSS信息
N/A
漏洞类别
注入