从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Remote Code Execution (RCE) is still possible #226 - 描述:JSONPath Plus Remote Code Execution (RCE) Vulnerability has been patched in version 10.0.0, but Remote Code Execution (RCE) is still possible with the payload below as the path value. 2. 代码示例: 3. 预期行为: - Potential Remote Code Execution (RCE) - Potential Cross-site scripting (XSS) 4. 环境: - JSONPath-Plus version: 10.0.0 5. 操作系统和Node版本: - OS: macOS - Node Version v21.7.3 6. 修复情况: - 修复版本:10.0.2 - 修复版本:10.0.3 - 修复版本:10.0.4 7. 讨论内容: - 用户@03sunf 提供了payload示例,并指出RCE仍然可以通过payload执行。 - 用户@brettz9 提供了修复版本,并解释了修复方法。 - 用户@chaitanyareddy-mula 表示仍然可以通过payload执行RCE。 - 用户@zmiele 提出是否应该考虑将eval设置为默认行为。 8. 标签: - Bug - Bug - unconfirmed 9. 参与用户: - 7个参与用户,包括@03sunf、@brettz9、@chaitanyareddy-mula、@zmiele、@brettz9、@80avin、@brettz9 这些信息表明,尽管JSONPath Plus在10.0.0版本中修复了RCE漏洞,但通过特定的payload仍然可以执行RCE。用户和开发者之间进行了详细的讨论,提出了修复方法和进一步的建议。