V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
DatadoghqПриложениеnvd

Import-in-the-middle

Уязвимости
1
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.00846

Распределение по критичности

Критический
1
Высокий
0
Средний
0
Низкий
0

Затронутые диапазоны версий

< 1.4.2
Также сопоставлено как (исходные строки): import-in-the-middle

Топ уязвимостей

CVE-2023-38704import-in-the-middle — это перехватчик загрузки модулей, специально предназначенный для модулей ESM. Загрузчик import-in-the-middle работает путем генерации модуля-обертки на лету. Обертка использует спецификатор модуля для загрузки исходного модуля и добавления некоторого кода обертки. До версии 1.4.2 он допускает удаленное выполнение кода в случаях, когда приложение передает введенные пользователем данные непосредственно в функцию `import()`. Эта уязвимость была исправлена в import-in-the-middle версии 1.4.2. Доступны некоторые обходные пути. Не передавайте никакие введенные пользователем данные в `import()`. Вместо этого проверьте их на соответствие набору разрешенных значений. Если вы используете import-in-the-middle, прямо или косвенно, и поддержка модулей EcmaScript не требуется, убедитесь, что никакие параметры не установлены либо через командную строку, либо через переменную среды `NODE_OPTIONS`, которые включили бы хуки загрузчика.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →