Node-red
Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
6.5
Макс. EPSS
0.01397
Распределение по критичности
Критический
0
Высокий
0
Средний
3
Низкий
0
Затронутые диапазоны версий
< 1.2.8≤ 0.20.7
Также сопоставлено как (исходные строки): node-red
Топ уязвимостей
CVE-2021-21298Node-Red — это программирование с низким уровнем кодирования для приложений, управляемых событиями, созданных с использованием nodejs. Node-RED 1.2.7 и более ранние версии имеют уязвимость, которая позволяет произвольно перемещаться по путям через API проектов. Если функция «Проекты» включена, пользователь с разрешением `projects.read` может получить доступ к любому файлу через API проектов. Проблема исправлена в Node-RED 1.2.8. Уязвимость относится только к функции «Проекты», которая по умолчанию не включена в Node-RED. Основной обходной путь — не предоставлять ненадежным пользователям доступ на чтение к редактору Node-RED.
CVE-2021-21297Node-Red — это программирование с низким уровнем кодирования для приложений, управляемых событиями, созданных с использованием nodejs. Node-RED 1.2.7 и более ранние версии содержат уязвимость Prototype Pollution в API администрирования. Неправильно сформированный запрос может изменить прототип объекта JavaScript по умолчанию с возможностью повлиять на поведение среды выполнения Node-RED по умолчанию. Уязвимость исправлена в выпуске 1.2.8. В качестве обходного пути убедитесь, что только авторизованные пользователи имеют доступ к URL-адресу редактора.
CVE-2019-15607Сохраненная XSS-уязвимость присутствует в npm-пакете node-red (версия: <= 0.20.7), который является визуальным инструментом для подключения Интернета вещей. Эта проблема позволит злоумышленнику украсть cookie сеанса, испортить веб-приложения и т. д.