تنبيه npm
2200تاريخ التحذير
مستوى الخطورة
رقم التحذير
القطاع المستهدف
23 يناير, 2022
● عالي
2022-4264
الكل
أصدرت npm عدّة تحديثات لمعالجة ثغرة في المنتجات التالية:
- log4js
- < 6.4.0
- Epubjs
- < 0.3.89
- node-fetch
- >= 3.0.0, < 3.1.1
- < 2.6.7
- colors
- >= 1.4.1
- nanoid
- < 3.1.31
التهديدات:
يمكن للمهاجم استغلال الثغرة وتنفيذ مايلي:
هجمة البرمجة عبر المواقع (Cross-site scripting (XSS))
يوصي المركز بتحديث النسخ المتأثرة، حيث أصدرت npm توضيحًا لهذه التحديثات:
- Incorrect Default Permissions in log4js · CVE-2022-21704 · GitHub Advisory Database · GitHub
- Cross-site Scripting in epubjs · CVE-2021-33040 · GitHub Advisory Database · GitHub
- node-fetch is vulnerable to Exposure of Sensitive Information to an Unauthorized Actor · CVE-2022-0235 · GitHub Advisory Database · GitHub
- Infinite Loop in colors.js · CVE-2021-23567 · GitHub Advisory Database · GitHub
- Exposure of Sensitive Information to an Unauthorized Actor in nanoid · CVE-2021-23566 · GitHub Advisory Database · GitHub