Node.js 在ejs中检测到已知的中度安全漏洞<;2.5.5
我在GitHub上的几个项目中收到此警报: 我们在其中一个依赖项中发现了一个潜在的安全漏洞 由您参与的存储库使用 在ejs中检测到已知的中度安全漏洞<2.5.5 在package.json中定义。建议更新package.json:ejs~>2.5.5 我可以通过在Node.js 在ejs中检测到已知的中度安全漏洞<;2.5.5,node.js,github,xss,ejs,Node.js,Github,Xss,Ejs,我在GitHub上的几个项目中收到此警报: 我们在其中一个依赖项中发现了一个潜在的安全漏洞 由您参与的存储库使用 在ejs中检测到已知的中度安全漏洞2.5.5 我可以通过在package.json中进行建议的更新来消除警告,而npm更新似乎可以正常工作。但我有点不愿意开始处理生产服务器 该漏洞于2017年11月16日创建。在警报项目中,ejs由express使用,express仅与sequelize一起使用 是否有人了解此漏洞?在express静态和内部使用ejs的情况下,XSS如何可能?是否存
package.jsonnpm更新似乎可以正常工作。但我有点不愿意开始处理生产服务器
该漏洞于2017年11月16日创建。在警报项目中,ejs
由express
使用,express
仅与sequelize
一起使用
是否有人了解此漏洞?在express
静态和内部使用ejs
的情况下,XSS如何可能?是否存在ejs
->express
->sequelize
容易受到XSS攻击的真实用例 CVE链接到后面的链接,该链接阻止将某些数据变量传递到renderFile
中,并将其转换为控制EJB行为的选项。回顾过去,介绍了可转换为配置选项的允许数据列表
如果Express应用程序直接从客户端(如req.params
或req.body
)将数据传递到render
,并且恶意用户可以将EJS选项添加到他们通过设置['view options']
对象发送的任何请求中,则可能会出现此问题。我猜是其中一个允许你注入内容的
EJS还开始转义2.5.5版本的错误消息中的文件名
内容,这似乎是在正确转义之前的一个快速修复,这似乎适合XSS模式。但是,在客户端上呈现之前,通常需要转义整个错误消息,如果您使用的是默认的非生产性错误处理,express会为您这样做
我不知道XSS漏洞会直接影响到什么,除了通过XSS可能引起的请求 谢谢。那就更清楚了!没有看到相关的提交。我相信我不必担心,我收到警报的两个节点应用程序除了通过sequelize向客户机传递JSON和从客户机传递JSON之外什么都没有。最近有一个应用程序似乎强调了这个问题,但似乎它们删除了信息。另一个指向,但没有完全确定。