Vulnerabilidad en nemo-appium (CVE-2022-21129)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
31/01/2023
Última modificación:
27/03/2025
Descripción
Las versiones del paquete nemo-appium anteriores a la 0.0.9 son vulnerables a la inyección de comandos debido a una sanitización de entrada inadecuada en la función 'module.exports.setup'. **Nota:** Para aprovechar esta vulnerabilidad, appium-running 0.1.3 debe instalarse como una de las dependencias de nemo-appium.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:paypal:nemo-appium:*:*:*:*:*:node.js:*:* | 0.0.9 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/paypal/nemo-appium/blob/master/index.js%23L27
- https://github.com/paypal/nemo-appium/commit/aa271d36dd5c81baae3c43aa2616c84f0ee4195f
- https://security.snyk.io/vuln/SNYK-JS-NEMOAPPIUM-3183747
- https://github.com/paypal/nemo-appium/blob/master/index.js%23L27
- https://github.com/paypal/nemo-appium/commit/aa271d36dd5c81baae3c43aa2616c84f0ee4195f
- https://security.snyk.io/vuln/SNYK-JS-NEMOAPPIUM-3183747