Vulnerabilidad en el paquete npm @diez/generation (CVE-2021-32830)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
17/08/2021
Última modificación:
07/11/2023
Descripción
El paquete npm @diez/generation es un cliente para Diez. El método locateFont de @diez/generation presenta una vulnerabilidad de inyección de comandos. Es poco probable que los clientes de la biblioteca @diez/generation sean conscientes de ello, por lo que podrían escribir involuntariamente código que contenga una vulnerabilidad. Este problema puede conllevar a una ejecución de código remota si un cliente de la biblioteca llama al método vulnerable con una entrada no confiable. Todas las versiones de este paquete son vulnerables en el momento de escribir esta CVE.
Impacto
Puntuación base 3.x
7.00
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:haikuforteams:diez:-:*:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página