关键信息 漏洞描述 名称: Remote Code Execution (RCE) 受影响的包: jsonpath-plus 受影响的版本: <10.0.0 引入日期: 2024年9月10日 CVE编号: CVE-2024-21534 CWE编号: CWE-94 严重性: CRITICAL (9.3) 威胁情报: Proof of Concept 漏洞影响 描述: jsonpath-plus是一个JS实现的JSONPath,带有额外的操作符。 影响: 由于输入验证不足,受影响的版本存在远程代码执行(RCE)漏洞。攻击者可以通过利用Node的默认行为来执行任意代码。 解决方案 建议: 升级jsonpath-plus到版本10.0.0或更高。 漏洞利用 PoC代码: CVSS评分 版本4.0: 9.3 (CRITICAL) 版本3.1: 9.3 (CRITICAL) 其他信息 Snyk ID: SNYK-JS-JSONPATHPLUS-7945884 发布日期: 2024年10月10日 披露日期: 2024年9月10日 贡献者: Andrea Angelo Raineri 联系信息 报告新漏洞: 报告新漏洞 支持: 支持 新闻稿: 新闻稿 活动: 活动 公司信息 Snyk Limited 注册地址: 高地屋,巴斯京斯托克路,斯宾塞伍德,雷丁,伯克郡,RG7 1NT