关键漏洞信息 漏洞名称: Arbitrary Code Injection 受影响包: 受影响版本: [0,] 引入日期: 2020-06-20 CVE编号: CVE-2020-1615 CWE编号: CWE-1321, CWE-94 CVSS评分: 9.2 (Critical) 漏洞描述: - 受影响的版本存在代码注入漏洞,由于对用户提供的JSON Path表达式的不安全评估。 - 该库依赖于 模块来处理JSON Path输入,该模块在设计时未考虑安全处理不可信数据。 - 攻击者可通过提供恶意JSON Path表达式,当评估时执行任意JavaScript代码,导致Node.js环境中的远程代码执行或浏览器上下文中的跨站脚本(XSS)。 - 影响所有评估对象JSON Path的方法,包括 , , , , , 。 修复建议: - 目前没有修复版本。 威胁情报: - 漏洞利用成熟度: Proof of Concept CVSS Base Scores: - Attack Vector (AV): Network - Attack Complexity (AC): Low - Attack Requirements (AT): Present - Privileges Required (PR): None - User Interaction (UI): None - Confidentiality (VC): High - Integrity (VI): High - Availability (VA): High - Confidentiality (SC): None - Integrity (SI): None - Availability (SA): None Snyk ID: SNYK-JAVA-ORGWEBJARSNPM-15141219 发布时间: 2020-02-05 披露时间: 2020-06-20 发现者: Nick Copi