Node-lodash
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.2241
Распределение по критичности
Критический
1
Высокий
2
Средний
3
Низкий
1
Также сопоставлено как (исходные строки): node-lodash
Топ уязвимостей
CVE-2019-10744Версии lodash ниже 4.17.12 уязвимы для Prototype Pollution. Функцию defaultsDeep можно обманом заставить добавлять или изменять свойства Object.prototype с помощью полезной нагрузки конструктора.
CVE-2020-8203Атака с загрязнением прототипа при использовании _.zipObjectDeep в lodash до 4.17.20.
CVE-2021-23337Версии Lodash до 4.17.21 уязвимы для Command Injection через функцию template.
CVE-2018-16487Уязвимость prototype pollution была обнаружена в lodash <4.17.11, где функции merge, mergeWith и defaultsDeep могут быть обманом заставлены добавлять или изменять свойства Object.prototype.
CVE-2020-28500Версии Lodash до 4.17.21 уязвимы для Regular Expression Denial of Service (ReDoS) через функции toNumber, trim и trimEnd.
CVE-2019-1010266lodash до 4.17.11 подвержен уязвимости: CWE-400: Неконтролируемое потребление ресурсов. Воздействие: отказ в обслуживании. Компонент: обработчик даты. Вектор атаки: злоумышленник предоставляет очень длинные строки, которые библиотека пытается сопоставить с помощью регулярного выражения. Исправленная версия: 4.17.11.
CVE-2018-3721Node-модуль lodash версий до 4.17.5 страдает от уязвимости Modification of Assumed-Immutable Data (MAID) через функции defaultsDeep, merge и mergeWith, которая позволяет злоумышленнику изменять прототип "Object" через __proto__, вызывая добавление или изменение существующего свойства, которое будет существовать во всех объектах.
CVE-2021-41720ОТВЕТАЯ причина: НЕ ИСПОЛЬЗУЕТЕ ЭТОТ НОМЕР КАНДИДАТА. Консультации: нет. Причина: этот кандидат был отозван его CNA. Дальнейшее расследование показало, что это не вопрос безопасности. Примечания: нет