漏洞信息详情
Joyent Node.js syntax-error模块代码注入漏洞
- CNNVD编号:CNNVD-201410-1227
- 危害等级: 高危
- CVE编号: CVE-2014-7192
- 漏洞类型: 代码注入
- 发布时间: 2014-07-15
- 威胁类型: 远程
- 更新时间: 2016-04-21
- 厂 商: joyent
- 漏洞来源: Cal Leeming
漏洞简介
Joyent Node.js是美国Joyent公司的一套建立在Google V8 Javascript引擎之上的网络应用平台。该平台主要用于构建高度可伸缩的应用程序,以及编写能够处理数万条且同时连接到一个物理机的连接代码。
IBM Rational Application Developer中使用的Joyent Node.js 0.10.x版本的syntax-error模块1.1.1之前版本中的index.js文件存在Eval注入漏洞。远程攻击者可借助特制的文件利用该漏洞执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://nodesecurity.io/advisories/37
参考网址
来源:nodesecurity.io
链接:https://nodesecurity.io/advisories/syntax-error-potential-script-injection
来源:github.com
链接:https://github.com/substack/node-syntax-error/commit/9aa4e66eb90ec595d2dba55e6f9c2dd9a668b309
来源:XF
链接:http://xforce.iss.net/xforce/xfdb/96728
来源:www-01.ibm.com
链接:http://www-01.ibm.com/support/docview.wss?uid=swg21690815
来源: BID
链接:http://www.securityfocus.com/bid/70105
受影响实体
- Joyent Node.js:0.10.32
补丁
- 9.1.0.0-Rational-RAD-IBMSDKNodejs-1109-ifix
- node-syntax-error-1.1.1
- node-syntax-error-1.1.1
评论