CVE-2019-13506 — Cross-Site Scripting in @nuxt/devalue

描述

Versions of `@nuxt/devalue` prior to 1.2.3 are vulnerable to Cross-Site Scripting. Due to insufficient input sanitization attacker may inject arbitrary JavaScript code through object keys. ## Recommendation Upgrade to version 1.2.3 or later.

如何修補 CVE-2019-13506

要修補 CVE-2019-13506,請將受影響套件升級到下列已修補版本。

npm/@nuxt/devalue—升級至 1.2.3 或更新版本

CVE-2019-13506 正在被利用嗎?

低 — EPSS 為 0.5%,目前沒有觀察到大規模利用活動。

受影響套件(1)

from 0, < 1.2.3

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	MEDIUM6.1	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

參考連結(8)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2019-13506
WEBgithub.com/nuxt/devalue/pull/8
WEBgithub.com/nuxt/devalue/releases/tag/v1.2.3
WEBgithub.com/nuxt/nuxt.js/commit/0d5dfe71917191c5b07f373896311f2d8f6b75be
WEB