ГлавнаяБаза уязвимостей БДУ → BDU:2021-02843
9.3критическая

BDU:2021-02843

Уязвимость функций VisitMixin и visitMixinBlock препроцессора HTML Pug, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-06-04
Описание

Уязвимость функций VisitMixin и visitMixinBlock препроцессора HTML Pug связана с недостатками процедуры нейтрализации особых элементов в выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Pug (до 3.0.1)pug-code-gen (до 2.0.3)pug-code-gen (от 3.0.0 до 3.0.2)
Способ устранения

Использование рекомендаций:
https://github.com/pugjs/pug/pull/3314

Оценка CVSS
Балл9.3 — критическая опасность
Источники и патчи
https://www.ibm.com/blogs/psirt/security-bulletin-a-security-vulnerability-in-node-js-pug-and-pug-code-gen-module-affects-ibm-cloud-pak-for-multicloud-management-managed-service/https://github.com/pugjs/pug/commit/991e78f7c4220b2f8da042877c6f0ef5a4683be0https://github.com/pugjs/pug/issues/3312https://github.com/pugjs/pug/pull/3314https://github.com/pugjs/pug/releases/tag/pug%403.0.1https://github.com/pugjs/pug/security/advisories/GHSA-p493-635q-r6grhttps://www.npmjs.com/package/pughttps://www.npmjs.com/package/pug-code-gen
Проверьте безопасность своего сайта и почты → Полная проверка домена