Node.js 漏洞列表

A directory traversal vulnerability in the st module before 0.2.5 for Node.js allows remote attackers to read arbitrary files via a %2e%2e (encoded dot dot) in an unspecified path.

Node.js before 8.6.0 allows remote attackers to access unintended files because a change to ".." handling is incompatible with the pathname validation used by unspecified community modules.

Node.JS System Information Library System before version 5.3.1 is susceptible to remote command injection. Node.JS (npm package "systeminformation") is an open source collection of functions to retrieve detailed hardware, system and OS information.

Node.js Embedded JavaScript 3.1.6 is susceptible to server-side template injection via settings[view options][outputFunctionName], which is parsed as an internal option and overwrites the outputFunctionName option with an arbitrary OS command, which is then executed upon template compilation.

Node.js是Node.js开源的一个开源、跨平台的 JavaScript 运行时环境。 Node.js存在安全漏洞，该漏洞源于在攻击者发送恶意 URL 的情况下，系统可能无法正确处理设备名称，导致路径遍历。

Node.js中存在一个HTTP请求走私漏洞。该漏洞是由于对Transfer-Encoding的输入验证不当导致的。

systeminformation 是Node.js 的一个获取系统信息和操作系统信息的库。Node.JS systeminformation 在 5.3.1版本之前存在远程命令注入漏洞。这个漏洞允许攻击者在特定条件下，通过精心构造的输入，执行任意命令。

Node.js N8n Package存在目录遍历漏洞，此漏洞是由于rest接口对用户的请求验证不当导致的。

Joyent Node.js是美国Joyent公司的一套建立在Google V8JavaScript引擎之上的网络应用平台。该平台主要用于构建高度可伸缩的应用程序，以及编写能够处理数万条且同时连接到一个物理机的连接代码。</br>JoyentNode.js 8.6.0之前的8.5.0版本中存在安全漏洞。远程攻击者可利用该漏洞访问敏感文件。