CVE-2022-21122 — Code Injection in metacalc

描述

The package metacalc before 0.0.2 is vulnerable to Arbitrary Code Execution when it exposes JavaScript's Math class to the v8 context. As the Math class is exposed to user-land, it can be used to get access to JavaScript's Function constructor.

如何修補 CVE-2022-21122

要修補 CVE-2022-21122,請將受影響套件升級到下列已修補版本。

npm/metacalc—升級至 0.0.2 或更新版本

CVE-2022-21122 正在被利用嗎?

低 — EPSS 為 1.1%,目前沒有觀察到大規模利用活動。

受影響套件(1)

from 0, < 0.0.2

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	CRITICAL9.0	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

參考連結(5)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2022-21122
PATCHgithub.com/metarhia/metacalc
WEBgithub.com/metarhia/metacalc/commit/625c23d63eabfa16fc815f5832b147b08d2144bd
WEBgithub.com/metarhia/metacalc/pull/16
WEB