漏洞信息详情

nodejs 输入验证错误漏洞

• CNNVD编号：CNNVD-201306-525
• 危害等级： 高危
  
• CVE编号： CVE-2013-4660
• 漏洞类型： 输入验证错误
• 发布时间： 2013-06-28
• 威胁类型： 远程
• 更新时间： 2021-11-24
• 厂        商：
• 漏洞来源：

漏洞简介

nodejs是是一个基于CMS.zone.ci/e/tags/htag.php?tag=Chrome target=_blank class=infotextkey>ChromeV8引擎的Javascript运行环境通过对CMS.zone.ci/e/tags/htag.php?tag=Chrome target=_blank class=infotextkey>Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。

nodejs 的js-YAML模块2.0.5之前的版本中存在输入验证错误漏洞，该漏洞源于程序解析输入没有正确考虑不安全的!!js/function标签。远程攻击者可通过特制的字符串触发评估（eval）操作，利用该漏洞执行任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://portal.nodesecurity.io/advisories/js-yaml

参考网址

来源: nealpoole.com

链接:https://nealpoole.com/blog/2013/06/code-execution-via-yaml-in-js-yaml-nodejs-module/

来源: portal.nodesecurity.io

链接:http://portal.nodesecurity.io/advisories/js-yaml

受影响实体

暂无

补丁

• nodejs 输入验证错误漏洞的修复措施