中危 fsevents 中的代码注入 (CVE-2023-45311)

CVE编号

CVE-2023-45311

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-10-07

漏洞描述

fsevents before 1.2.11 depends on the https://fsevents-binaries.s3-us-west-2.amazonaws.com URL, which might allow an adversary to execute arbitrary code if any JavaScript project (that depends on fsevents) distributes code that was obtained from that URL at a time when it was controlled by an adversary.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/atlassian/moo/blob/56ccbdd41b493332bc2cd7a4097a5802594cdb9...
https://github.com/atlassian/react-immutable-proptypes/blob/ddb9fa5194b931bf7...
https://github.com/cloudflare/authr/blob/3f6129d97d06e61033a7f237d84e35e678db...
https://github.com/cloudflare/hugo-cloudflare-docs/blob/e0f7cfa195af8ef1bfa51...
https://github.com/cloudflare/redux-grim/blob/b652f99f95fb16812336073951adc5c...
https://github.com/cloudflare/serverless-cloudflare-workers/blob/e95e1e9c9770...
https://github.com/fsevents/fsevents/compare/v1.2.10...v1.2.11
https://security.snyk.io/vuln/SNYK-JS-FSEVENTS-5487987

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	fsevents_project	fsevents	*		Up to (excluding) 1.2.11

阿里云评分 6.7

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-94	对生成代码的控制不恰当（代码注入）

Exp相关链接

- avd.aliyun.com