Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el módulo de node reduce-css-calc (CVE-2016-10548)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
31/05/2018
Última modificación:
17/06/2026

Descripción

Es posible la ejecución de código arbitrario en el módulo de node reduce-css-calc en versiones anteriores a la 1.2.4 mediante CSS manipulado. Esto posibilita Cross-Site Scripting (XSS) en el cliente y posibilita la inyección de código arbitrario en el servidor; se pasan entradas de usuario a la función "calc".

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:reduce-css-calc_project:reduce-css-calc:*:*:*:*:*:node.js:*:* 1.2.4 (incluyendo)