Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el uso de la función exec child_process en el paquete killing (CVE-2021-23381)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
18/04/2021
Última modificación:
28/06/2022

Descripción

Esto afecta a todas las versiones del paquetes killing. Si es proporcionada una entrada de usuario controlada por un atacante, es posible para un atacante ejecutar comandos arbitrarios. Esto es debido al uso de la función exec child_process sin un saneamiento de la entrada

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:killing_project:killing:*:*:*:*:*:node.js:*:*