Vulnerabilidad en la API de renderizado Express en Squirrelly (CVE-2021-32819)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
14/05/2021
Última modificación:
22/05/2023
Descripción
Squirrelly es un motor de plantillas implementado en JavaScript que funciona de inmediato con ExpressJS. Squirrelly mezcla datos de plantilla puros con opciones de configuración del motor mediante la API de renderizado Express. Al sobrescribir las opciones de configuración internas, puede ser desencadenada una ejecución de código remota en aplicaciones posteriores. Actualmente no presenta una solución para estos problemas a partir de la publicación de este CVE. La última versión de squirrelly es actualmente la versión 8.0.8. Para obtener detalles completos, consulte la referencia GHSL-2021-023
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:squirrelly:squirrelly:8.0.8:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/squirrellyjs/squirrelly/commit/c12418a026f73df645ba927fd29358efe02fed1e
- https://github.com/squirrellyjs/squirrelly/commit/dca7a1e7ee91d8a6ffffb655f3f15647486db9da
- https://github.com/squirrellyjs/squirrelly/pull/254
- https://securitylab.github.com/advisories/GHSL-2021-023-squirrelly/