Nim
Уязвимости
9
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.04205
Распределение по критичности
Критический
2
Высокий
4
Средний
3
Низкий
0
Также сопоставлено как (исходные строки): nim
Топ уязвимостей
CVE-2020-15692В Nim 1.2.4 стандартная библиотека browsers неправильно обрабатывает аргумент URL для browsers.openDefaultBrowser. Этот аргумент может быть локальным путем к файлу, который будет открыт в проводнике по умолчанию. Злоумышленник может передать один аргумент в базовую команду open для выполнения произвольных зарегистрированных системных команд.
CVE-2020-15690В Nim до версии 1.2.6 стандартная библиотека asyncftpclient не проверяет, содержит ли сообщение символ новой строки.
CVE-2021-21372Nimble - это менеджер пакетов для языка программирования Nim. В версии Nim release до версий 1.2.10 и 1.4.4 Nimble doCmd используется в разных местах и может использоваться для выполнения произвольных команд. Злоумышленник может создать вредоносную запись в списке пакетов packages.json, чтобы вызвать выполнение кода.
CVE-2021-21374Nimble - это менеджер пакетов для языка программирования Nim. В версиях Nim release до версий 1.2.10 и 1.4.4 "nimble refresh" извлекает список пакетов Nimble по протоколу HTTPS без полной проверки SSL/TLS-сертификата из-за настройки httpClient по умолчанию. Злоумышленник, способный выполнить MitM, может предоставить измененный список пакетов, содержащий вредоносные пакеты программного обеспечения. Если пакеты установлены и используются, атака перерастает в выполнение ненадежного кода.
CVE-2021-29495Nim — это статически типизированный компилируемый язык системного программирования. В стандартной библиотеке Nim до 1.4.2 проверка SSL/TLS-сертификата httpClient была отключена по умолчанию. Пользователи могут обновиться до версии 1.4.2, чтобы получить исправление, или, в качестве обходного пути, установить "verifyMode = CVerifyPeer", как указано в документации.
CVE-2020-15694В Nim 1.2.4 стандартная библиотека httpClient не может правильно проверить ответ сервера. Например, httpClient.get().contentLength() не вызывает никаких ошибок, если вредоносный сервер предоставляет отрицательное значение Content-Length.
CVE-2020-15693В Nim 1.2.4 стандартная библиотека httpClient уязвима для внедрения CR-LF в целевой URL. Внедрение возможно, если злоумышленник контролирует любую часть URL, предоставленного в вызове (например, httpClient.get или httpClient.post), значение заголовка User-Agent или имена или значения пользовательских HTTP-заголовков.
CVE-2021-46872Обнаружена проблема в Nim версий до 1.6.2. Модуль RST языка Nim stdlib, используемый в NimForum и других продуктах, допускает схему URI javascript:, что может привести к XSS в некоторых приложениях. (Версии Nim 1.6.2 и более поздние исправлены; могут быть бэкпорты исправления в некоторые более ранние версии. NimForum 2.2.0 исправлен.)
CVE-2021-21373Nimble - это менеджер пакетов для языка программирования Nim. В версиях Nim release до версий 1.2.10 и 1.4.4 "nimble refresh" по умолчанию извлекает список пакетов Nimble по протоколу HTTPS. В случае ошибки он возвращается к URL-адресу без TLS http://irclogs.nim-lang.org/packages.json. Злоумышленник, способный выполнить MitM, может предоставить измененный список пакетов, содержащий вредоносные пакеты программного обеспечения. Если пакеты установлены и используются, атака перерастает в выполнение ненадежного кода.