Vulnerabilidad en exec-local-bin (CVE-2022-25923)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
06/01/2023
Última modificación:
10/04/2025
Descripción
Las versiones del paquete exec-local-bin anteriores a la 1.2.0 son vulnerables a la inyección de comandos a través de la funcionalidad theProcess() debido a una desinfección inadecuada de la entrada del usuario.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:exec-local-bin_project:exec-local-bin:*:*:*:*:*:node.js:*:* | 1.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/saeedseyfi/exec-local-bin/blob/92db00bde9d6e2d83410849f898df12f075b73b0/index.js%23L9
- https://github.com/saeedseyfi/exec-local-bin/commit/d425866375c85038133a6f79db2aac66c0a72624
- https://security.snyk.io/vuln/SNYK-JS-EXECLOCALBIN-3157956
- https://github.com/saeedseyfi/exec-local-bin/blob/92db00bde9d6e2d83410849f898df12f075b73b0/index.js%23L9
- https://github.com/saeedseyfi/exec-local-bin/commit/d425866375c85038133a6f79db2aac66c0a72624
- https://security.snyk.io/vuln/SNYK-JS-EXECLOCALBIN-3157956