`Deno.makeTemp*` API 中的权限检查不足 (CVE-2024-27931)
CVE编号
CVE-2024-27931利用情况
暂无补丁情况
N/A披露时间
2024-03-06漏洞描述
Deno是一个具有安全默认设置的JavaScript、TypeScript和WebAssembly运行时。在`Deno.makeTemp*` APIs中参数验证不足可能允许在允许的目录之外创建文件。这可能允许用户覆盖系统中可能影响其他系统的重要文件。用户可能会向`Deno.makeTemp*` API提供包含路径遍历字符的前缀或后缀。这个问题在Deno 1.41.1中得到了修复。解决建议
"将组件 deno 升级至 1.41.1 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/denoland/deno/security/advisories/GHSA-hrqr-jv8w-v9jh |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论