CVE-2020-24025 — Improper Certificate Validation in node-sass

描述

Certificate validation in node-sass 2.0.0 to 4.14.1 is disabled when requesting binaries even if the user is not specifying an alternative download path.

如何修補 CVE-2020-24025

要修補 CVE-2020-24025,請將受影響套件升級到下列已修補版本。

Debian/node-node-sass—未列出修補版本
npm/node-sass—升級至 7.0.0 或更新版本

CVE-2020-24025 正在被利用嗎?

低 — EPSS 為 0.3%,目前沒有觀察到大規模利用活動。

受影響套件(2)

from 0
>= 2.0.0, < 7.0.0

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	MEDIUM5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

參考連結(8)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2020-24025
ADVISORYsecurity-tracker.debian.org/tracker/CVE-2020-24025
PATCHgithub.com/sass/node-sass
WEBgithub.com/sass/node-sass/commit/0a21792803639851b480fbd8cbcb5540ef974387
WEB