低危 Joyent Node.js npm信息泄露漏洞
CVE编号
CVE-2016-3956利用情况
暂无补丁情况
官方补丁披露时间
2016-07-03漏洞描述
Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。npm是其中的一个包管理和分发工具。 Joyent Node.js中使用的npm 2.15.1之前版本和3.8.3之前3.x版本中的CLI中存在信息泄露漏洞,该漏洞源于请求中包含发件人令牌。远程攻击者可通过读取Authorization头利用该漏洞获取敏感信息。解决建议
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://nodejs.org/en/blog/vulnerability/npm-tokens-leak-march-2016/受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | ibm | sdk | * | Up to (including) 1.1.0.20 | |||||
| 运行在以下环境 | |||||||||
| 应用 | ibm | sdk | * | Up to (including) 1.2.0.10 | |||||
| 运行在以下环境 | |||||||||
| 应用 | ibm | sdk | * | Up to (including) 4.4.1.0 | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.10 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.11 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.12 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.13 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.14 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.15 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.16 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.16-isaacs-manual | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.17 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.18 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.19 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.20 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.21 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.22 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.23 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.24 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.25 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.26 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.27 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.28 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.29 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.30 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.31 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.32 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.33 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.34 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.35 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.36 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.37 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.38 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.39 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.40 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.41 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.6 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.7 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.8 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.10.9 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.12.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.12.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.12.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.12.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.12.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.12.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.12.6 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.12.7 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.12.8 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 0.12.9 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.0.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.1.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.1.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.1.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.2.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.2.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.2.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.2.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.2.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.2.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.2.6 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.3.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.3.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.3.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.4.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 4.4.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.0.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.1.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.1.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.2.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.3.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.4.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.4.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.5.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.6.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.7.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.7.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.8.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.8.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.9.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | nodejs | node.js | 5.9.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | * | Up to (including) 2.15.0 | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.0.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.1.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.1.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.1.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.1.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.2.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.2.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.2.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.10 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.11 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.12 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.6 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.7 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.8 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.3.9 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.4.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.4.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.5.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.5.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.5.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.5.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.5.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.6.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.7.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.7.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.7.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.7.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.7.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.7.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.8.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.8.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | npm | npm | 3.8.2 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian | DPKG | * | Up to (excluding) 0 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | npm | * | Up to (excluding) 5.8.0+ds-2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | npm | * | Up to (excluding) 5.8.0+ds-2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | npm | * | Up to (excluding) 5.8.0+ds-2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | npm | * | Up to (excluding) 5.8.0+ds-2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_18.10 | npm | * | Up to (excluding) 3.8.3 | |||||
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-200 | 信息暴露 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论