CVE-2025-48050

ANC

Высокий

В DOMPurify до версии 3.2.5 и до версии 6bc6d60 файл scripts/server.js не гарантирует, что путь находится в текущем рабочем каталоге. Приме…

CVSS

7.5

Высокий

EPSS

0.00

p60

Опубликовано

2025-01-01

Обновлено

2025-01-01

Описание

В DOMPurify до версии 3.2.5 и до версии 6bc6d60 файл scripts/server.js не гарантирует, что путь находится в текущем рабочем каталоге. Примечание: поставщик оспаривает значимость этого отчета, поскольку «Неконтролируемые данные, используемые в выражении пути», встречаются «в вспомогательном скрипте разработки, который запускает локальный веб-сервер, если это необходимо, и должен быть запущен вручную». Источники: - [1] https://github.com/odaysec/advisory/blob/main/cure53/DOMPurify/writeup.md - [2] https://github.com/cure53/DOMPurify/pull/1101 - [3] https://github.com/cure53/DOMPurify/commit/6bc6d60e49256f27a4022181b7d8a5b0721fd534 - [4] https://security.snyk.io/vuln/SNYK-JS-DOMPURIFY-10176060

Теги · CWE

Без аутентификации

CWE-24

Затронутые продукты

Node-dompurifyNode-dompurifyNode-dompurify

Вектор CVSS

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:L/A:N

Хронология

2025-01-01

Опубликована

2025-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: H

Высокая (H)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: C

Изменена (C)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: L

Низкое (L)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.004 · p60

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Уязвимое ПО

Продукт	Вендор	Статус
		Отслеживается
node-dompurify		Отслеживается
node-dompurify		Отслеживается
node-dompurify		Отслеживается

Источники данных

ANC

DEB

UBU