Vulnerabilidad en el uso de la función exec child_process en el paquete killing (CVE-2021-23381)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
18/04/2021
Última modificación:
28/06/2022
Descripción
Esto afecta a todas las versiones del paquetes killing. Si es proporcionada una entrada de usuario controlada por un atacante, es posible para un atacante ejecutar comandos arbitrarios. Esto es debido al uso de la función exec child_process sin un saneamiento de la entrada
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:killing_project:killing:*:*:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página