ГлавнаяБаза уязвимостей БДУ → BDU:2024-04404
7.6высокая

BDU:2024-04404

Уязвимость функций compileClient, compileFileClient и compileClientWithDependenciesTracked шаблонизатора для создания HTML-разметки Pug (ранее Jade), позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-06-07
Описание

Уязвимость функций compileClient, compileFileClient и compileClientWithDependenciesTracked шаблонизатора для создания HTML-разметки Pug (ранее Jade) связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Pug (до 3.0.3)pug-code-gen (до 3.0.3)
Способ устранения

Обновление программных средств pug и pug-code-gen до версии 3.0.3 и выше.

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://github.com/pugjs/pug/pull/3428https://github.com/advisories/GHSA-3965-hpx2-q597https://github.com/pugjs/pug/pull/3438https://github.com/Coding-Competition-Team/hackac-2024/tree/main/web/pughttps://github.com/pugjs/pug/blob/4767cafea0af3d3f935553df0f9a8a6e76d470c2/packages/pug/lib/index.js#L328https://github.com/pugjs/pug/pull/3438https://github.com/pugjs/pug/commit/32acfe8f197dc44c54e8af32c7d7b19aa9d350fbhttps://github.com/pugjs/pug/releases/tag/pug%403.0.3
Проверьте безопасность своего сайта и почты → Полная проверка домена