promise-probe命令注入漏洞
promise-probe是一款探针模块。
一、漏洞分析
公开日期:2020-02-20
漏洞编号:CNVD-2020-10516
危害等级:高危
漏洞描述:promise-probe 0.10.0之前版本中存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
二、漏洞影响范围
promise-probe promise-probe <0.10.0
三、漏洞处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/dottgonzo/node-promise-probe/commit/0d9affb67fc1ad985903536d35372cf55efe5a45
