Node-Red — это программирование с низким уровнем кодирования для приложений, управляемых событиями, созданных с использованием nodejs. Node…
Node-Red — это программирование с низким уровнем кодирования для приложений, управляемых событиями, созданных с использованием nodejs. Node-RED 1.2.7 и более ранние версии содержат уязвимость Prototype Pollution в API администрирования. Неправильно сформированный запрос может изменить прототип объекта JavaScript по умолчанию с возможностью повлиять на поведение среды выполнения Node-RED по умолчанию. Уязвимость исправлена в выпуске 1.2.8. В качестве обходного пути убедитесь, что только авторизованные пользователи имеют доступ к URL-адресу редактора.
Продукт получает от вышестоящего компонента входные данные, задающие несколько атрибутов, свойств или полей, которые должны быть инициализированы или обновлены в объекте, однако не обеспечивает надлежащего контроля над тем, какие атрибуты могут быть изменены.
https://cwe.mitre.org/data/definitions/915.html →Открыть в коллекции CWE →