Arbitrary Code Injection 漏洞信息(CVE-2021-23358)

一、漏洞 CVE-2021-23358 基础信息

漏洞信息

                                        # 任意代码注入

## 概述
`underscore`包中的`template`函数存在任意代码注入漏洞。特别是当传递的变量属性未经过清理时，该漏洞会被利用。

## 影响版本
- 从1.13.0-0到1.13.0-2之前的版本
- 从1.3.2到1.12.1之前的版本

## 细节
当`template`函数接收未经过清理的变量属性作为参数时，存在任意代码注入漏洞。

## 影响
此漏洞允许攻击者通过注入恶意代码来执行任意代码，可能引起严重的安全问题。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Arbitrary Code Injection

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The package underscore from 1.13.0-0 and before 1.13.0-2, from 1.3.2 and before 1.12.1 are vulnerable to Arbitrary Code Injection via the template function, particularly when a variable property is passed as an argument as it is not sanitized.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Npm underscore 代码注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Npm underscore是美国Npm公司的一个应用程序。一个JavaScript的实用程序带库，可为常见的可疑功能提供支持，而无需扩展任何核心JavaScript对象。 underscore from 1.13.0-0 and before 1.13.0-2, from 1.3.2 and before 1.12.1存在代码注入漏洞，攻击者可利用该漏洞容易通过模板函数执行任意代码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2021-23358 的公开POC

#	POC 描述	源链接	神龙链接
1	Detection script for cve-2021-23358	https://github.com/EkamSinghWalia/Detection-script-for-cve-2021-23358	POC详情
2	None	https://github.com/MehdiBoukhobza/SandBox_CVE-2021-23358	POC详情

三、漏洞 CVE-2021-23358 的情报信息

https://snyk.io/vuln/SNYK-JS-UNDERSCORE-1080984 x_refsource_MISC
https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-1081503 x_refsource_MISC
https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSBOWER-1081504 x_refsource_MISC
https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSBOWERGITHUBJASHKENAS-1081505 x_refsource_MISC
https://github.com/jashkenas/underscore/blob/master/modules/template.js%23L71 x_refsource_MISC
https://www.tenable.com/security/tns-2021-14 x_refsource_CONFIRM
https://www.debian.org/security/2021/dsa-4883 vendor-advisory x_refsource_DEBIAN
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/EOKATXXETD2PF3OR36Q5PD2VSVAR6J5Z/ vendor-advisory x_refsource_FEDORA
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FGEE7U4Z655A2MK5EW4UQQZ7B64XJWBV/ vendor-advisory x_refsource_FEDORA
https://lists.debian.org/debian-lts-announce/2021/03/msg00038.html mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/re69ee408b3983b43e9c4a82a9a17cbbf8681bb91a4b61b46f365aeaf%40%3Cissues.cordova.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/r5df90c46f7000c4aab246e947f62361ecfb849c5a553dcdb0ef545e1%40%3Cissues.cordova.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/raae088abdfa4fbd84e1d19d7a7ffe52bf8e426b83e6599ea9a734dba%40%3Cissues.cordova.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/rbc84926bacd377503a3f5c37b923c1931f9d343754488d94e6f08039%40%3Cissues.cordova.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/r770f910653772317b117ab4472b0a32c266ee4abbafda28b8a6f9306%40%3Cissues.cordova.apache.org%3E mailing-list x_refsource_MLIST
https://nvd.nist.gov/vuln/detail/CVE-2021-23358

四、漏洞 CVE-2021-23358 的评论

暂无评论

一、 漏洞 CVE-2021-23358 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2021-23358 的公开POC

三、漏洞 CVE-2021-23358 的情报信息

四、漏洞 CVE-2021-23358 的评论

发表评论

一、漏洞 CVE-2021-23358 基础信息