漏洞标题
N/A
漏洞描述信息
在Express 4.17.3之前以及其他产品中使用qs之前,qs 6.10.3之前,由于可以使用__proto__键,允许攻击者导致Express应用程序的Node进程暂停。在许多典型的Express用例中,未授权的远程攻击者可以在用于访问应用程序的URL查询字符串中放置攻击payload,例如a[__proto__]=b&a[__proto__]&a[length]=10000000。该修复被portport到qs6.9.7、6.8.3、6.7.3、6.6.1、6.5.3、6.4.1、6.3.3和6.2.4(因此Express 4.17.3,其发布描述中包含“deps: qs@6.9.7”,因此不 vulnerable)。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
qs before 6.10.3, as used in Express before 4.17.3 and other products, allows attackers to cause a Node process hang for an Express application because an __ proto__ key can be used. In many typical Express use cases, an unauthenticated remote attacker can place the attack payload in the query string of the URL that is used to visit the application, such as a[__proto__]=b&a[__proto__]&a[length]=100000000. The fix was backported to qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3, and 6.2.4 (and therefore Express 4.17.3, which has "deps: qs@6.9.7" in its release description, is not vulnerable).
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
qs 安全漏洞
漏洞描述信息
ljharb qs是美国Jordan Harband个人开发者的一个具有嵌套支持的查询字符串解析器。 qs 6.10.3 之前版本存在安全漏洞,该漏洞源于parse忽略__proto__键,攻击者利用该漏洞可以将攻击载荷放在用于访问应用程序的 URL 的查询字符串中。
CVSS信息
N/A
漏洞类别
其他