nvd,anchore_overrides
Unjs
Уязвимости
6
Эксплуатируемые
0
Критический
1
Высокий
1
Топ уязвимостей
CVE-2025-69874Нанотар через 0.2.0 имеет уязвимость прохождения пути в parseTar() и parseTarGzip(), что позволяет удаленным злоумышленникам записывать произвольные файлы за пределами предполагаемого каталога извлечения через созданный архив смоляных протезов, содержащий последовательность прохождения пути.
CVE-2026-35209defu - это программное обеспечение, которое позволяет пользователям рекурсивно назначать свойства по умолчанию. До версии 6.1.5 приложения, которые передают недезинфицированный пользовательский ввод (например, разобранные органы запроса JSON, записи базы данных или конфигурационные файлы из ненадежных источников) в качестве первого аргумента в пользу «defu()` загрязнены прототипами. Обработанная полезная нагрузка, содержащая `__proto__` ключ, может переопределить предполагаемые значения по умолчанию в объединенном результате. Внутренняя `_defu` функция использовала `Object.assign({}, defaults)` для копирования объекта по умолчанию. `Object.assign` вызывает `__proto__` сеттер, который заменяет результирующий объект `[[Prototype]]` на значения, контролируемые атакующим. Свойства, унаследованные от загрязненного прототипа, затем обходят существующий `__proto__` ключ-охранник в цикле `for...in` и приземляются в конечном результате. Версия 6.1.5 заменяет `Object.assign({}, defaults)` на Object spread (`{...defaults }`), который использует `[DefineOwnProperty]]` и не вызывает `__proto__` сеттера.
CVE-2025-54387IPX - это оптимизатор изображений, использующий sharp и svgo. В версиях 1.3.1 и ниже, 2.0.0-0 до 2.1.0 и 3.0.0 до 3.1.0 подход, используемый для проверки того, находится ли путь в разрешенных директориях, уязвим к обходу префикса пути, когда разрешенные директории не заканчиваются разделителем пути. Это происходит потому, что проверка основана на сравнении префиксов строк [1].
Источники:
- [1] https://github.com/unjs/ipx/security/advisories/GHSA-mm3p-j368-7jcr
CVE-2026-39315Unhead - это руководитель документов и менеджер шаблонов. До 2.1.13 useHeadSafe() является компонуемым, который собственная документация Nuxt явно рекомендует для безопасного рендеринга пользовательского контента в <head>. Внутренне функция hasDangerousProtocol() в упаковках/unhead/src/plugins/safe.ts декодирует объекты HTML перед проверкой заблокированных схем URI (javascript:, data:, vbscript:). Декодер использует два регулярных выражения с цифровыми крышками фиксированной ширины. Спецификация HTML5 не накладывает ограничений на ведущие нули в числовых ссылках на символы. Когда мягкая сущность превышает крышку рёбека, декодер молча пропускает его. Затем незашифрованная строка передается в старты('javascript:'), который не соответствует. makeTagSafe() записывает необработанное значение непосредственно в вывод HTML SSR. HTML-парсер браузера декодирует мягкий объект изначально и конструирует заблокированный URI. Эта уязвимость зафиксирована в пункте 2.1.13.
CVE-2026-31873Unhead - это руководитель документов и менеджер шаблонов. До 21.1.1, в пункте 2.1.1, проверка link.href в makeTagSafe (safe.ts) использует String.includes(), который чувствителен к регистру. Браузеры относятся к схемам URI бесчувственно. DATA:text/css,... это то же самое, что данные:text/css,... в браузер, но "DATA:...".inved('data:") возвращает ложные. Злоумышленник может вводить произвольную CSS для исправления пользовательского интерфейса или эксфильтрации данных через селекторы атрибутов CSS с обратной связью с фоновым изображением. Эта уязвимость зафиксирована в пункте 2.1.11.
CVE-2026-31860Unhead - руководитель документа и менеджер шаблонов. До 21.1.1, useHeadSafe() можно обойти, чтобы ввести произвольные атрибуты HTML, включая обработчиков событий, в теги <head>, отображенные SSR. Это компонуемое, которое документы Nuxt рекомендуют для безопасной обработки пользовательского контента. Функция приема DataAttrs (safe.ts, line 16-20) позволяет любому ключу свойства, начиная с данных - до конечного HTML. Он проверяет только префикс, а не содержит ли ключ пробелы или другие символы, которые нарушают парсинг атрибутов HTML. Эта уязвимость зафиксирована в пункте 2.1.11.