Risk of code injection in RSSHub 漏洞信息(CVE-2021-21278)

一、漏洞 CVE-2021-21278 基础信息

漏洞标题

RSSHub的代码注入风险

来源：AIGC 神龙大模型

漏洞描述信息

RSSHub的代码注入风险

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Risk of code injection in RSSHub

来源：美国国家漏洞数据库 NVD

漏洞描述信息

RSSHub is an open source, easy to use, and extensible RSS feed generator. In RSSHub before version 7f1c430 (non-semantic versioning) there is a risk of code injection. Some routes use `eval` or `Function constructor`, which may be injected by the target site with unsafe code, causing server-side security issues The fix in version 7f1c430 is to temporarily remove the problematic route and added a `no-new-func` rule to eslint.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

输出中的特殊元素转义处理不恰当(注入)

来源：美国国家漏洞数据库 NVD

漏洞标题

RSSHub 注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

RSSHub 存在注入漏洞，该漏洞源于一些路由使用“eval”或“Function constructor”，导致服务器端安全问题。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2021-21278 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2021-21278 的情报信息

https://github.com/DIYgod/RSSHub/security/advisories/GHSA-pgjj-866w-fc5c x_refsource_CONFIRM
https://github.com/DIYgod/RSSHub/commit/7f1c43094e8a82e4d8f036ff7d42568fed00699d x_refsource_MISC
https://www.npmjs.com/package/rsshub x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2021-21278

一、 漏洞 CVE-2021-21278 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2021-21278 的公开POC

三、漏洞 CVE-2021-21278 的情报信息

一、漏洞 CVE-2021-21278 基础信息