一、 漏洞 CVE-2019-25158 基础信息
漏洞标题
"pedroetb tts-api app.js onSpeechDone os command injection" 翻译成中文为:“pedroetb tts-api app.js 在SpeechDone操作系统上命令注入”。
来源:AIGC 神龙大模型
漏洞描述信息
发现了pedroetb tts-api 到2.1.4中的一个漏洞,并被评为关键。这个漏洞影响了app.js文件的SpeechDone函数。操作会导致os命令注入。升级到版本2.2.0可以解决此问题。补丁 identified as 29d9c25415911ea2f8b6de247cb5c4607d13d434。建议升级受影响的组件。VDB-248278是给这个漏洞分配的标识符。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
pedroetb tts-api app.js onSpeechDone os command injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability has been found in pedroetb tts-api up to 2.1.4 and classified as critical. This vulnerability affects the function onSpeechDone of the file app.js. The manipulation leads to os command injection. Upgrading to version 2.2.0 is able to address this issue. The patch is identified as 29d9c25415911ea2f8b6de247cb5c4607d13d434. It is recommended to upgrade the affected component. VDB-248278 is the identifier assigned to this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
TTS API 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
TTS API是Pedro Trujillo个人开发者的一个适用于多个TTS引擎的文本转语音REST API。 TTS API 2.1.4及之前版本存在操作系统命令注入漏洞,该漏洞源于文件的onSpeechDone函数会导致操作系统命令注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-25158 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2019-25158 的情报信息