@blakeembrey/template vulnerable to code injection when attacker controls template input 漏洞信息(CVE-2024-45390)

一、漏洞 CVE-2024-45390 基础信息

漏洞标题

@blakeembrey/template 在攻击者控制模板输入时易受到代码注入攻击

来源：AIGC 神龙大模型

漏洞描述信息

@blakeembrey/template 是一个字符串模板库。在版本 1.2.0 之前，如果攻击者能够编写模板名称，则可以在模板中注入并运行代码。版本 1.2.0 包含了一个补丁。作为临时解决方案，不要将不可信输入作为模板显示名称传递，或者不要使用显示名称功能。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

对生成代码的控制不恰当(代码注入)

来源：AIGC 神龙大模型

漏洞标题

@blakeembrey/template vulnerable to code injection when attacker controls template input

来源：美国国家漏洞数据库 NVD

漏洞描述信息

@blakeembrey/template is a string template library. Prior to version 1.2.0, it is possible to inject and run code within the template if the attacker has access to write the template name. Version 1.2.0 contains a patch. As a workaround, don't pass untrusted input as the template display name, or don't use the display name feature.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

对生成代码的控制不恰当(代码注入)

来源：美国国家漏洞数据库 NVD

漏洞标题

Template 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Template是Blake Embrey个人开发者的一个快速简单的字符串模板。 Template 1.2.0之前版本存在安全漏洞，该漏洞源于如果攻击者有权写入模板名称，则可以在模板中注入并运行代码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-45390 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-45390 的情报信息

标题： Code injection when attacker controls template input · Advisory · blakeembrey/js-template · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
神龙速读
标题： Remove template display name · blakeembrey/js-template@b8d9aa9 · GitHub -- 🔗来源链接

标签： x_refsource_MISC
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2024-45390

一、 漏洞 CVE-2024-45390 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-45390 的公开POC

三、漏洞 CVE-2024-45390 的情报信息

一、漏洞 CVE-2024-45390 基础信息