皓月当空,明镜高悬
文末有图片更好保存~
漏洞名称:Babel 插件任意代码执行漏洞漏洞
漏洞出现时间:2023年10月15日
影响等级:严重
影响版本:
- 最新版本
漏洞说明:
Babel是一个编写JavaScript的编译器。在版本7.23.2和8.0.0之前的“@babel/traverage”以及“babel-transverse”的所有版本中,当使用依赖于“path.eevaluate()”或“path.evalateTruthy()”内部babel方法的插件时,使用babel编译由攻击者特制的代码可能会导致在编译过程中执行任意代码。已知受影响的插件是`@babel/plugin-transform runtime``@babel/preset-env,当使用其“useBuiltIns”选项时;以及任何依赖于“@babel/helper-define polyfill provider”的“polyfill provider”插件,如“babel-plugin-polyfill-corejs3”、“babel-plugin-poolyfill-corejs2”、“babel-plugin polyfill es shims”、“巴氏插件polyfill regenerator”。“@babel/”命名空间下的其他插件不会受到影响,但第三方插件可能会受到影响。只编译受信任代码的用户不会受到影响。该漏洞已在`@babel中修复/[email protected]`和`@babel/[email protected]`。那些无法升级“@babel/traverage”并正在使用上述受影响的包之一的用户应将其升级到最新版本,以避免在受影响的“@babel/traverag”版本中触发易受攻击的代码路径:“@babels/plugin-transform runtime”v7.23.2、“@babell/preset-env”v7.23.2'、“@babel/helper define polyfill provider”v0.4.3、“babel-plugin-polyfill-corews2”v0.4.6,“babel-plugin-polyfill-corejs3”v0.8.5,“babel-plugin-polifill-es”v0.10.0,“babel-plugin-polyfill-regenerator”v0.5.3。
修复方式:
升级置最新版本
https://github.com/babel/babel/pull/16033
相关链接:
https://steakenthusiast.github.io/2023/10/11/CVE-2023-45133-Finding-an-Arbitrary-Code-Execution-Vulnerability-In-Babel/
https://github.com/babel/babel/pull/16033
https://nvd.nist.gov/vuln/detail/CVE-2023-45133
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...