漏洞标题
N/A
漏洞描述信息
@diez/生成npm包是一个Diez客户端。@diez/生成库的 locateFont 方法存在命令注入漏洞。@diez/生成库的客户端不太可能知道这一点,因此他们可能会 unknowingly 编写包含漏洞的代码。如果这个库的客户端使用不受信任的输入调用漏洞方法,则可能导致远程代码执行。截至编写此CVE,所有版本都仍存在此漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The @diez/generation npm package is a client for Diez. The locateFont method of @diez/generation has a command injection vulnerability. Clients of the @diez/generation library are unlikely to be aware of this, so they might unwittingly write code that contains a vulnerability. This issue may lead to remote code execution if a client of the library calls the vulnerable method with untrusted input. All versions of this package are vulnerable as of the writing of this CVE.
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
漏洞标题
Github diez 命令注入漏洞
漏洞描述信息
Github diez是一个开源开发人员工具包,用于大规模构建和维护设计令牌。 Github diez 存在命令注入漏洞,该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。
CVSS信息
N/A
漏洞类别
命令注入