Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en @blakeembrey/template (CVE-2024-45390)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
03/09/2024
Última modificación:
12/09/2024

Descripción

@blakeembrey/template es una librería de plantillas de cadenas. Antes de la versión 1.2.0, era posible inyectar y ejecutar código dentro de la plantilla si el atacante tenía acceso para escribir el nombre de la plantilla. La versión 1.2.0 contiene un parche. Como workaround, no pase una entrada que no sea de confianza como nombre para mostrar de la plantilla o no use la función de nombre para mostrar.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:blakeembrey:template:*:*:*:*:*:node.js:*:* 1.2.0 (excluyendo)