Debian DLA-3221-1: node-cached-path-relative - LTS のセキュリティ更新

critical Nessus プラグイン ID 168403

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3221 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- cached-path-relative バージョン <=1.0.1 のプロトタイプ汚染攻撃により、攻撃者が Object.prototype にプロパティを注入し、それがプロトタイプチェーンを通じてすべての JS オブジェクトに継承され、DoS 攻撃を引き起こす可能性があります。(CVE-2018-16472)

- 1.1.0 より前の cached-path-relative パッケージには、cachedPathRelative 関数内で Object.create(null) の代わりに {} と設定されたキャッシュ変数による Prototype Pollution の脆弱性があります。これにより、キャッシュされた相対パス作成時に親のプロトタイププロパティにアクセスする可能性があります。生成元パスを __proto__ として使用する場合、パスの代わりにオブジェクトの属性にアクセスします。**注: **この脆弱性は、https://security.snyk.io/vuln/SNYK-JS-CACHEDPATHRELATIVE-72573 の不完全な修正に由来します (CVE-2021-23518)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。