Pug 注入漏洞

漏洞信息详情

Pug 注入漏洞

CNNVD编号：CNNVD-202103-249
危害等级：超危-->
危害等级：超危
CVE编号： CVE-2021-21353
漏洞类型：注入
发布时间： 2021-03-03
威胁类型：远程
更新时间： 2021-05-20
厂商：
漏洞来源：

漏洞简介

Tmont Pug是（Tmont）开源的一个应用软件。提供了优化html的方式。

Pug 存在注入漏洞，攻击者可利用该漏洞编译器的“pretty”选项。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/pugjs/pug/pull/3314

参考网址

来源:MISC

链接:https://www.npmjs.com/package/pug-code-gen

来源:MISC

链接:https://github.com/pugjs/pug/pull/3314

来源:MISC

链接:https://github.com/pugjs/pug/commit/991e78f7c4220b2f8da042877c6f0ef5a4683be0

来源:CONFIRM

链接:https://github.com/pugjs/pug/security/advisories/GHSA-p493-635q-r6gr

来源:MISC

链接:https://github.com/pugjs/pug/issues/3312

来源:MISC

链接:https://github.com/pugjs/pug/releases/tag/pug%403.0.1

来源:vigilance.fr

链接:https://vigilance.fr/vulnerability/Node-js-Modules-five-vulnerabilities-34738

来源:www.ibm.com

链接:https://www.ibm.com/blogs/psirt/security-bulletin-a-security-vulnerability-in-node-js-pug-pug-code-gen-module-affects-ibm-cloud-automation-manager/

受影响实体

暂无

补丁

Pug 注入漏洞的修复措施

正文

Pug 注入漏洞

漏洞信息详情