Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el paquete npm @diez/generation (CVE-2021-32830)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
17/08/2021
Última modificación:
07/11/2023

Descripción

El paquete npm @diez/generation es un cliente para Diez. El método locateFont de @diez/generation presenta una vulnerabilidad de inyección de comandos. Es poco probable que los clientes de la biblioteca @diez/generation sean conscientes de ello, por lo que podrían escribir involuntariamente código que contenga una vulnerabilidad. Este problema puede conllevar a una ejecución de código remota si un cliente de la biblioteca llama al método vulnerable con una entrada no confiable. Todas las versiones de este paquete son vulnerables en el momento de escribir esta CVE.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:haikuforteams:diez:-:*:*:*:*:node.js:*:*