Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

nvd

Nodered

Уязвимости

6

Эксплуатируемые

0

Критический

0

Высокий

1

Топ продуктов

Node-red3 Node-red-dashboard3

Топ уязвимостей

CVE-2021-3223Node-RED-Dashboard до версии 2.26.2 допускает обход каталогов ui_base/js/..%2f для чтения файлов.

CVE-2021-21298Node-Red — это программирование с низким уровнем кодирования для приложений, управляемых событиями, созданных с использованием nodejs. Node-RED 1.2.7 и более ранние версии имеют уязвимость, которая позволяет произвольно перемещаться по путям через API проектов. Если функция «Проекты» включена, пользователь с разрешением `projects.read` может получить доступ к любому файлу через API проектов. Проблема исправлена в Node-RED 1.2.8. Уязвимость относится только к функции «Проекты», которая по умолчанию не включена в Node-RED. Основной обходной путь — не предоставлять ненадежным пользователям доступ на чтение к редактору Node-RED.

CVE-2021-21297Node-Red — это программирование с низким уровнем кодирования для приложений, управляемых событиями, созданных с использованием nodejs. Node-RED 1.2.7 и более ранние версии содержат уязвимость Prototype Pollution в API администрирования. Неправильно сформированный запрос может изменить прототип объекта JavaScript по умолчанию с возможностью повлиять на поведение среды выполнения Node-RED по умолчанию. Уязвимость исправлена в выпуске 1.2.8. В качестве обходного пути убедитесь, что только авторизованные пользователи имеют доступ к URL-адресу редактора.

CVE-2022-3783В node-red-dashboard обнаружена уязвимость, классифицированная как проблематичная. Эта проблема затрагивает некоторую неизвестную обработку файла components/ui-component/ui-component-ctrl.js компонента ui_text Format Handler. Манипулирование приводит к межсайтовому скриптингу. Атака может быть инициирована удаленно. Имя патча — 9305d1a82f19b235dfad24a7d1dd4ed244db7743. Рекомендуется применить патч для устранения этой проблемы. Связанным идентификатором этой уязвимости является VDB-212555.

CVE-2019-15607Сохраненная XSS-уязвимость присутствует в npm-пакете node-red (версия: <= 0.20.7), который является визуальным инструментом для подключения Интернета вещей. Эта проблема позволит злоумышленнику украсть cookie сеанса, испортить веб-приложения и т. д.

CVE-2019-10756Возможно внедрение JavaScript в node-red-dashboard версий до версии 2.17.0 из-за того, что узел ui_notification принимает необработанный HTML по умолчанию.

Открыть в каталоге с фильтром по вендору →