Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en a.getProcessPortId en el paquete kill-process-on-port (CVE-2020-28426)
Gravedad:
AltaAlta
Publication date: 01/02/2021
Last modified:
21/07/2021
Descripción:
Todas las versiones del paquete kill-process-on-port son vulnerables a una Inyección de Comandos por medio de a.getProcessPortId

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en ReDoS (CVE-2020-28493)
Gravedad:
MediaMedia
Publication date: 01/02/2021
Last modified:
21/07/2021
Descripción:
Esto afecta al paquete jinja2 desde versiones 0.0.0 y anteriores a 2.11.3. La vulnerabilidad ReDoS se debe principalmente al operador `_punctuation_re regex` y su uso de múltiples comodines. El último comodín es el más explotable, ya que busca la puntuación final. Este problema puede ser mitigado con Markdown para formatear el contenido del usuario en lugar del filtro urlize, o implementando tiempos de espera de las peticiones y limitando la memoria del proceso