anchore_overrides,nvd
Datadoghq
Уязвимости
9
Эксплуатируемые
0
Критический
1
Высокий
5
Топ уязвимостей
CVE-2023-38704import-in-the-middle — это перехватчик загрузки модулей, специально предназначенный для модулей ESM. Загрузчик import-in-the-middle работает путем генерации модуля-обертки на лету. Обертка использует спецификатор модуля для загрузки исходного модуля и добавления некоторого кода обертки. До версии 1.4.2 он допускает удаленное выполнение кода в случаях, когда приложение передает введенные пользователем данные непосредственно в функцию `import()`. Эта уязвимость была исправлена в import-in-the-middle версии 1.4.2.
Доступны некоторые обходные пути. Не передавайте никакие введенные пользователем данные в `import()`. Вместо этого проверьте их на соответствие набору разрешенных значений. Если вы используете import-in-the-middle, прямо или косвенно, и поддержка модулей EcmaScript не требуется, убедитесь, что никакие параметры не установлены либо через командную строку, либо через переменную среды `NODE_OPTIONS`, которые включили бы хуки загрузчика.
CVE-2026-22871GuardDog - это инструмент CLI для идентификации вредоносных пакетов PyPI. До 2.7.1 в функции Safe_extract() GuardDog существует уязвимость прохождения, которая позволяет вредоносным пакетам PyPI записывать произвольные файлы за пределами указанной каталога извлечения, что приводит к произбытковому перезаписи и удаленному исполнению кода на системах под управлением GuardDog. Эта уязвимость зафиксирована в пункте 2.7.1.
CVE-2026-44971GuardDog - это инструмент CLI для идентификации вредоносных пакетов PyPI. От 1.0.0 до 2.9.0, программный путь дистанционного сканирования проекта переписывает URL-адреса хранилища, управляемых злоумышленником, с помощью замены слепой строки, а затем отправляет учетные данные GitHub абонента с полученным запросом. Это позволяет злоумышленнику, который может влиять на сканируемый URL-адрес репозитора, запускать SSRF и захватывать GH_TOKEN, используемый GuardDog. Эта уязвимость фиксируется в .
CVE-2022-23531GuardDog - это инструмент командной строки для выявления вредоносных пакетов PyPI. Версии до 0.1.5 уязвимы для относительного обхода пути при сканировании специально созданного локального пакета PyPI. Запуск GuardDog против специально созданного пакета может позволить злоумышленнику записать произвольный файл на машине, где выполняется GuardDog, из-за уязвимости обхода пути при извлечении файла .tar.gz сканируемого пакета, которая существует по замыслу в функции tarfile.TarFile.extractall. Эта проблема исправлена в версии 0.1.5.
CVE-2019-3800CF CLI версии до v6.45.0 (версия bosh release 1.16.0) записывает идентификатор клиента и секрет в свой файл конфигурации, когда пользователь проходит аутентификацию с помощью флага --client-credentials. Локальный прошедший проверку подлинности злоумышленник с доступом к файлу конфигурации CF CLI может действовать как этот клиент, который является владельцем просочившихся учетных данных.
CVE-2026-22870GuardDog - это инструмент CLI для идентификации вредоносных пакетов PyPI. До 2.7.1 функция Safe_extract() GuardDog не проверяет декомпрессионные размеры файлов при извлечении ZIP-архивов (колес, яйца), что позволяет злоумышленникам вызывать отказ в обслуживании через молниеносные бомбы. Вредоносная упаковка может потреблять гигабайты дискового пространства из нескольких мегабайт сжатых данных. Эта уязвимость зафиксирована в пункте 2.7.1.
CVE-2022-23530GuardDog - это инструмент командной строки для выявления вредоносных пакетов PyPI. Версии до v0.1.8 уязвимы для произвольной записи файлов при сканировании специально созданного удаленного пакета PyPI. Извлечение файлов с помощью shutil.unpack_archive() из потенциально вредоносного tarball без проверки того, находится ли целевой путь к файлу в пределах предполагаемого целевого каталога, может привести к перезаписи файлов за пределами целевого каталога. Эта проблема исправлена в версии 0.1.8. Потенциальные обходные пути включают использование более безопасного модуля, такого как zipfile, и проверку местоположения извлеченных файлов, а также отбрасывание файлов со злонамеренными путями.
CVE-2026-44972GuardDog - это инструмент CLI для идентификации вредоносных пакетов PyPI. С 2.6.0 до 2.9.0, GuardDog включает в себя управляемые злоумышленником имена файлов, местоположения файлов, сообщения и фрагменты кода в своем управляемом человеком выводе по умолчанию без выхода из терминального управления. Таким образом, вредоносный пакет может вводить последовательности побега ANSI или OSC в аналитические терминалы или журналы CI.
CVE-2021-21331Java-клиент для Datadog API до версии 1.0.0-beta.9 имеет локальное раскрытие информации о конфиденциальной информации, загруженной через API с использованием API Client. Datadog API выполняется в unix-подобной системе с несколькими пользователями. API используется для загрузки файла, содержащего конфиденциальную информацию. Эта конфиденциальная информация локально раскрывается другим пользователям. Эта уязвимость существует в API Client для версий 1 и 2. Метод `prepareDownloadFilecreates` создает временный файл с битами разрешений `-rw-r--r--` в unix-подобных системах. В unix-подобных системах системный временный каталог является общим для пользователей. Таким образом, содержимое файла, загруженного с помощью метода `downloadFileFromResponse`, будет видно всем другим пользователям в локальной системе. Анализ результатов показал, что затронутый код не используется, что означает, что вероятность эксплуатации невелика. Неиспользуемый код был удален, что фактически устраняет эту проблему. Эта проблема была исправлена в версии 1.0.0-beta.9. В качестве обходного пути можно указать `java.io.tmpdir` при запуске JVM с флагом `-Djava.io.tmpdir`, указав путь к каталогу с разрешениями `drw-------`, принадлежащему `dd-agent`.