漏洞标题
N/A
漏洞描述信息
由于"console.table()"函数的格式化逻辑,允许用户控制输入的"properties"参数同时传递一个至少有一个属性的plain对象作为第一个参数是不安全的行为,可能是 "__proto__"。原型污染的控制非常有限,它只允许将空字符串分配给对象原型的 numerical keys。Node.js >= 12.22.9, >= 14.18.3, >= 16.13.2, and >= 17.3.1 使用null原型对象将这些属性分配给对象。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Due to the formatting logic of the "console.table()" function it was not safe to allow user controlled input to be passed to the "properties" parameter while simultaneously passing a plain object with at least one property as the first parameter, which could be "__proto__". The prototype pollution has very limited control, in that it only allows an empty string to be assigned to numerical keys of the object prototype.Node.js >= 12.22.9, >= 14.18.3, >= 16.13.2, and >= 17.3.1 use a null protoype for the object these properties are being assigned to.
CVSS信息
N/A
漏洞类别
对假设不可变数据的修改(MAID)
漏洞标题
nodejs 代码注入漏洞
漏洞描述信息
nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。 nodejs 中存在代码注入漏洞,目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
CVSS信息
N/A
漏洞类别
代码注入