Joyent Node.js syntax-error模块代码注入漏洞

漏洞信息详情

Joyent Node.js syntax-error模块代码注入漏洞

• CNNVD编号：CNNVD-201410-1227
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2014-7192
  
• 漏洞类型：
  
  
  代码注入
  
• 发布时间：
  
  2014-07-15
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2016-04-21
  
• 厂        商：
  
  joyent
• 漏洞来源：
  Cal Leeming

Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。该平台主要用于构建高度可伸缩的应用程序，以及编写能够处理数万条且同时连接到一个物理机的连接代码。

IBM Rational Application Developer中使用的Joyent Node.js 0.10.x版本的syntax-error模块1.1.1之前版本中的index.js文件存在Eval注入漏洞。远程攻击者可借助特制的文件利用该漏洞执行任意代码。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://nodesecurity.io/advisories/37

来源:nodesecurity.io

链接:https://nodesecurity.io/advisories/syntax-error-potential-script-injection

来源:github.com

链接:https://github.com/substack/node-syntax-error/commit/9aa4e66eb90ec595d2dba55e6f9c2dd9a668b309

来源:XF

链接:http://xforce.iss.net/xforce/xfdb/96728

来源:www-01.ibm.com

链接:http://www-01.ibm.com/support/docview.wss?uid=swg21690815

来源: BID

链接:http://www.securityfocus.com/bid/70105